SAPфорум.RU https://www.sapboard.ru/forum/ |
|
RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие https://www.sapboard.ru/forum/viewtopic.php?f=14&t=99476 |
Страница 1 из 1 |
Автор: | iRomantick [ Ср, апр 07 2021, 11:04 ] |
Заголовок сообщения: | RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
NW 7.31 SP12 AIX ST-PI 2008_1_710 SP24 ST-A/PI 01U_731 SP1 нота 510007 настроена Result: SSF_API_OK Информация по версии: 136 SSFLIB Version 1.850.40 ; CommonCryptoLib (SAPCRYPTOLIB) Version 8.5.22 (+MT) #Copyright (c) SAP, 2011-2018#compiled for aix-6.1-ppc-64# выше, чем необходимо 8.4.48 в профиль инстанции добавлено: ssf/name = SAPSECULIB ssf/ssfapi_lib =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) sec/libsapsecu =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) ssl/ssl_lib = $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) sec/rsakeylengthdefault = 2048 icm/HTTPS/verify_client = 1 ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH icm/server_port_2 = PROT=HTTPS,PORT=8001,SSLCONFIG=ssl_config_2,VCLIENT=1,ACLFILE=/sapmnt/SID/profile/ACL/ms_http.acl icm/ssl_config_2 = CRED=SAPSSLC.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH в DEFAULT.PFL SETENV_28 = SAPSSL_CLIENT_SNI_ENABLED=TRUE SETENV_27 = SAPSSL_CLIENT_CIPHERSUITES=150:PFS:HIGH::EC_P256:EC_HIGH SETENV_26 = SECUDIR=$(DIR_INSTANCE)$(DIR_SEP)sec ssl/client_sni_enabled = TRUE icm/HTTPS/client_sni_enabled = TRUE ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH ------------------------------------------------------------------------------------------------------------------------------------ вот ссылка на картинки настроек соединений в SM59: https://www.mediafire.com/folder/bx6y636dc6rrz/Photos --------------------------------------------------------------------- пробовал: создал новую среду - SSL-мандант идентичности SAPSUP - SAP Passport for Technical User алгоритм SHA-256, длина на 2048 сертификат запрошен на данного S-user SSL-клиент for SAP Passport for Technical User в профиле инстанции менял на: icm/ssl_config_2 = CRED=SAPSSLSAPSUP.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH т.е. не проходит ни Standart Default Client SSL-мандант ни SSL-клиент for SAP Passport for Technical User ---------------------------------------------------------------------- ошибки HTTP 403, 404, либо ICM_HTTP_SSL_ERROR кто-нибудь может помочь? |
Автор: | jack_nsk [ Ср, апр 07 2021, 12:54 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
судя по скринам пытаетесь использовать прокси если есть saprouter, попробуйте через него проблема может быть в прокси, там либо галку global ставить, то ли сертификат может перевирать |
Автор: | iRomantick [ Ср, апр 07 2021, 14:07 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
да, прокси есть. с пользователем и паролем. дело в том, что безопы не выпустят наружу без прокси. никак. они мне уже на этого пользователя убрали пароль. админ прокси специально смотрел на пакеты и божится, что ответ HTTP 403-404 приходит с сапа! правда, верить ему так себе можно... сапрутер есть. прошлое соединение SAPOSS было через сапрутер и прокси. пробовал сделать такое на новых соединениях - 2 варианта строк с убранной настройкой прокси на закладке в тех.прараметрах настройки: /H/адрес сапрутера/H/адрес прокси/S/3299/H/194.117.106.129/notesdownloads.sap.com /H/адрес сапрутера/S/3299/H/194.117.106.129/notesdownloads.sap.com результат ICM_HTTP_CONNECTION_FAILED включаю прокси в настройках с такими же вариантами строк - результат другой ICM_HTTP_SSL_ERROR |
Автор: | jack_nsk [ Ср, апр 07 2021, 16:52 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
сертификат на сапроутере не просроченный? в saproutab секурное соединение прописано? niping что показывает? |
Автор: | iRomantick [ Чт, апр 08 2021, 15:02 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
дело в том, что сапрутером занимается другое подразделение. и, вследствие увольнения нормальных, грамотных людей, те, что остались... у меня даже слов нет... давеча еле уговорил показать saprouttab - показали только в виде фото того, что влезло в часть экрана (((( в той части естественно не прописано. тем более, что после расследования выяснилось, что у нас несколько сапрутеров с балансировщиком на внутренних айпи + один на белом, который смотрит в инет. и я так понимаю, что на внутренних должно быть прописано что-то типа P 172.16.*.* 85.45.xx.xx * где 172.16.*.* - мои сап-системы 85.45.xx.xx * - айпи внешнего рутера а на внешнем P 85.45.*.* 194.117.106.129 * 194.117.106.129 * - рутер Валдорфа? да? я так подробно спрашиваю, что скорее всего мне придется им править конфиги, а поскольку я этим никогда не занимался, надо сделать сразу правильно. не будент там никто разбираться и читать мануалы... еще вопрос - в той показанной части я заметил, что на рутере прописан он сам в разрешении - это обязательно? типа P 172.16.xx.xx 85.45.хх.хх * где 172.16.xx.xx - апйпи внутреннего рутера 85.45.xx.xx * - айпи внешнего рутера niping - это какая-то утилита? для чего она служит? может уговорю запустить... что с сертификатом - как узнать? |
Автор: | шрам [ Чт, апр 08 2021, 17:00 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
базовая информация https://support.sap.com/en/tools/connec ... igure.html Настройка сапроутера по шагам для подключения к SAP AG https://support.sap.com/en/tools/connec ... outer.html В Вашем случае это надо конфигурировать на сапроутере с белым IP. На внутреннем сапроутере тож самое, только все будет смотреть на внешний сапроутер. Также придется обменяться сертификатами между сапроутерами либо делать внутреннее общение незащищенным (без KP* и KT) Предварительно внешний сапроутер еще надо зарегистрировать через инцидент в SAP, если это не было сделано ранее. На группу: New or change connection requests to SAP Support (XX-SER-NET-NEW) Внутри: Code: SAPROUTERNAME <saprouter> SAProuter IP address ###.###.###.### (белый IP) SAP Customernr <your customer number> Distinguished Name "CN=<saprouter>, OU=<customer nr>, OU=SAProuter, O=SAP, C=DE" Практически тоже самое что выше, но другим языком https://blogs.sap.com/2014/10/07/a-guid ... saprouter/ Подключение к SAP для работы с нотами. Тоже есть часть по сапроутеру, но уже со стороны ABAP https://blogs.sap.com/2019/11/14/step-b ... sap-notes/ 500235 - Network Diagnosis with NIPING |
Автор: | bdmalex [ Чт, апр 08 2021, 22:17 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
iRomantick написал(а): . дело в том, что безопы не выпустят наружу без прокси. никак. ..... Зачем использовать чужой прокси, а не свой ??? SAP Web Dispatcher (https://wiki.scn.sap.com/wiki/display/S ... Dispatcher) уже стало не модно использовать ? ..... |
Автор: | iRomantick [ Пт, апр 09 2021, 11:15 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
шрам написал: базовая информация большое спасибо! буду пытаться заставить админа прочесть и сделать. пятый день переговоров... доступ к сапрутеру не дают. п.с. все сап-ноты и настройки я уже сделал и поставил. дело только за соединением... |
Автор: | Skif [ Пт, апр 09 2021, 12:04 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
вернулся к задачке и о - чудо - заработало! Не понял почему, ну да ладно. Походу SAP нормализовал пароль техюзера, что же ещё сделал-то... да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH) на ERP заработало, NW займусь сейчас p.s. всех с пятницей. меня "выпустили" (с удалёнки |
Автор: | jack_nsk [ Пт, апр 09 2021, 13:29 ] |
Заголовок сообщения: | Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие |
Skif написал: да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH) Additional considerations for setting up SSL on Application Server ABAP Code: client-side: (TLSv1.2+TLSv1.1+TLSv1.0+BLIND_CLIENT_CERT) = (512 + 256 + 128 + 16) = 912 (TLSv1.2+TLSv1.1+TLSV1.0+BLIND_CLIENT_CERT+NO_GAP+BEST_AVAILABLE) = (512 + 256 + 128 + 16 + 4 + 2) = 918 "волшебное слово" тут - TLS1.2 |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |