RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие

iRomantick

NW 7.31 SP12
AIX

ST-PI 2008_1_710 SP24
ST-A/PI 01U_731 SP1

нота 510007 настроена

Result: SSF_API_OK
Информация по версии: 136
SSFLIB Version 1.850.40 ; CommonCryptoLib (SAPCRYPTOLIB)
Version 8.5.22 (+MT) #Copyright (c) SAP, 2011-2018#compiled for aix-6.1-ppc-64#
выше, чем необходимо 8.4.48

в профиль инстанции добавлено:

ssf/name = SAPSECULIB
ssf/ssfapi_lib =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
sec/libsapsecu =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
ssl/ssl_lib = $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
sec/rsakeylengthdefault = 2048
icm/HTTPS/verify_client = 1
ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH
ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH
icm/server_port_2 = PROT=HTTPS,PORT=8001,SSLCONFIG=ssl_config_2,VCLIENT=1,ACLFILE=/sapmnt/SID/profile/ACL/ms_http.acl
icm/ssl_config_2 = CRED=SAPSSLC.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH

в DEFAULT.PFL

SETENV_28 = SAPSSL_CLIENT_SNI_ENABLED=TRUE
SETENV_27 = SAPSSL_CLIENT_CIPHERSUITES=150:PFS:HIGH::EC_P256:EC_HIGH
SETENV_26 = SECUDIR=$(DIR_INSTANCE)$(DIR_SEP)sec
ssl/client_sni_enabled = TRUE
icm/HTTPS/client_sni_enabled = TRUE
ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH
ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH

------------------------------------------------------------------------------------------------------------------------------------

вот ссылка на картинки настроек соединений в SM59:

https://www.mediafire.com/folder/bx6y636dc6rrz/Photos
---------------------------------------------------------------------
пробовал:
создал новую среду - SSL-мандант идентичности
SAPSUP - SAP Passport for Technical User
алгоритм SHA-256, длина на 2048
сертификат запрошен на данного S-user
SSL-клиент for SAP Passport for Technical User

в профиле инстанции менял на:

icm/ssl_config_2 = CRED=SAPSSLSAPSUP.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH

т.е. не проходит ни
Standart Default Client SSL-мандант
ни
SSL-клиент for SAP Passport for Technical User
----------------------------------------------------------------------

ошибки HTTP 403, 404, либо ICM_HTTP_SSL_ERROR

кто-нибудь может помочь?

jack_nsk

судя по скринам пытаетесь использовать прокси
если есть saprouter, попробуйте через него
проблема может быть в прокси, там либо галку global ставить, то ли сертификат может перевирать

iRomantick

да, прокси есть. с пользователем и паролем. дело в том, что безопы не выпустят наружу без прокси. никак.
они мне уже на этого пользователя убрали пароль.
админ прокси специально смотрел на пакеты и божится, что ответ HTTP 403-404 приходит с сапа!
правда, верить ему так себе можно...

сапрутер есть. прошлое соединение SAPOSS было через сапрутер и прокси. пробовал сделать такое на новых соединениях -

2 варианта строк с убранной настройкой прокси на закладке в тех.прараметрах настройки:

/H/адрес сапрутера/H/адрес прокси/S/3299/H/194.117.106.129/notesdownloads.sap.com
/H/адрес сапрутера/S/3299/H/194.117.106.129/notesdownloads.sap.com

результат
ICM_HTTP_CONNECTION_FAILED

включаю прокси в настройках с такими же вариантами строк -
результат другой

ICM_HTTP_SSL_ERROR

jack_nsk

сертификат на сапроутере не просроченный?
в saproutab секурное соединение прописано?
niping что показывает?

iRomantick

дело в том, что сапрутером занимается другое подразделение. и, вследствие увольнения нормальных, грамотных людей, те, что остались...
у меня даже слов нет...
давеча еле уговорил показать saprouttab - показали только в виде фото того, что влезло в часть экрана (((( в той части естественно не прописано.
тем более, что после расследования выяснилось, что у нас несколько сапрутеров с балансировщиком на внутренних айпи + один на белом, который смотрит в инет.

и я так понимаю, что на внутренних должно быть прописано что-то типа

P 172.16.*.* 85.45.xx.xx *
где 172.16.*.* - мои сап-системы
85.45.xx.xx * - айпи внешнего рутера

а на внешнем

P 85.45.*.* 194.117.106.129 *
194.117.106.129 * - рутер Валдорфа?

да? я так подробно спрашиваю, что скорее всего мне придется им править конфиги, а поскольку я этим никогда не занимался, надо сделать сразу правильно. не будент там никто разбираться и читать мануалы...

еще вопрос - в той показанной части я заметил, что на рутере прописан он сам в разрешении - это обязательно?
типа

P 172.16.xx.xx 85.45.хх.хх *
где 172.16.xx.xx - апйпи внутреннего рутера
85.45.xx.xx * - айпи внешнего рутера

niping - это какая-то утилита? для чего она служит? может уговорю запустить...
что с сертификатом - как узнать?

шрам

базовая информация
https://support.sap.com/en/tools/connec ... igure.html

Настройка сапроутера по шагам для подключения к SAP AG
https://support.sap.com/en/tools/connec ... outer.html
В Вашем случае это надо конфигурировать на сапроутере с белым IP. На внутреннем сапроутере тож самое, только все будет смотреть на внешний сапроутер.
Также придется обменяться сертификатами между сапроутерами либо делать внутреннее общение незащищенным (без KP* и KT)

Предварительно внешний сапроутер еще надо зарегистрировать через инцидент в SAP, если это не было сделано ранее.
На группу: New or change connection requests to SAP Support (XX-SER-NET-NEW)
Внутри:

Code:

SAPROUTERNAME                    <saprouter>
SAProuter IP address               ###.###.###.### (белый IP)
SAP Customernr                      <your customer number>
Distinguished Name                 "CN=<saprouter>, OU=<customer nr>, OU=SAProuter, O=SAP, C=DE"

Практически тоже самое что выше, но другим языком

https://blogs.sap.com/2014/10/07/a-guid ... saprouter/

Подключение к SAP для работы с нотами. Тоже есть часть по сапроутеру, но уже со стороны ABAP
https://blogs.sap.com/2019/11/14/step-b ... sap-notes/

500235 - Network Diagnosis with NIPING

bdmalex

iRomantick написал(а):

. дело в том, что безопы не выпустят наружу без прокси. никак.

.....
Зачем использовать чужой прокси, а не свой ???
SAP Web Dispatcher (https://wiki.scn.sap.com/wiki/display/S ... Dispatcher)
уже стало не модно использовать ?
.....

iRomantick

шрам написал:

базовая информация

большое спасибо! буду пытаться заставить админа прочесть и сделать.
пятый день переговоров... доступ к сапрутеру не дают.

п.с. все сап-ноты и настройки я уже сделал и поставил. дело только за соединением...

Skif

вернулся к задачке и о - чудо - заработало!
Не понял почему, ну да ладно.

Походу SAP нормализовал пароль техюзера,
что же ещё сделал-то...
да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH)
на ERP заработало, NW займусь сейчас

p.s. всех с пятницей. меня "выпустили" (с удалёнки

jack_nsk

Skif написал:

да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH)

Additional considerations for setting up SSL on Application Server ABAP

Code:

    client-side:  (TLSv1.2+TLSv1.1+TLSv1.0+BLIND_CLIENT_CERT) = (512 + 256 + 128 + 16) = 912
                     (TLSv1.2+TLSv1.1+TLSV1.0+BLIND_CLIENT_CERT+NO_GAP+BEST_AVAILABLE) = (512 + 256 + 128 + 16 + 4 + 2) = 918

"волшебное слово" тут - TLS1.2

Правила форума

RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие

Кто сейчас на конференции