Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis 160343

Tipps zur Fehlerbehebung bei Zertifikatsauthentifizierungsfehlern mit dem Integrations-Toolkit (ITK)

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Problem

Es kann vorkommen, dass das Data Transfer Tool (DTT) des Integration Toolkit (ITK) fehlschlägt, wenn die zertifikatsbasierte Authentifizierung mit Fehlern im Zusammenhang mit SSL oder Handshake-Fehlern verwendet wird. Diese Lösung ist für eigenständige ITK-Instanzen gedacht, die auf einem Server installiert sind und nicht auf SAP NetWeaver PI installiert sind.

Ursache

Das Problem wird in der Regel dadurch verursacht, dass im Keystore des Kunden unvollständige Zertifikatsketten oder falsche Zertifikate verwendet werden.

Prüfen Sie bei der Fehlerbehebung Folgendes:

Stellen Sie sicher, dass der Kunde öffentliche Schlüssel/Zwischen-/Wurzelzertifikate verwendet, die von einer von Ariba vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Selbstsignierte Zertifikate können nicht mit dem ITK und der zertifikatsbasierten Authentifizierung verwendet werden.
Stellen Sie sicher, dass der Kunde den Endpunkt in der Ariba-Anwendung als Authentifizierungsmethode Zertifikat aktiviert hat.

(Upstream): Verwalten > Administration > Integrations-Manager > Integrations-Toolkit-Sicherheit
(Downstream): Verwalten > Ariba Administrator > Integrations-Manager > Integrations-Toolkit-Sicherheit
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass der Parameter urlPrefix korrekt auf https://xxxxx/Sourcing/filedownload oder https://xxxxx/Buyer/fileupload gesetzt ist, wobei xxxxx eine der im Abschnitt Zusätzliche Informationen aufgeführten Sites wäre und bei Bedarf verwendet werden muss. Beispiel: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass die folgenden Parameter gesetzt und nicht kommentiert sind:
clientKeystore
clientKeystorePassword
clientKeyPassword
Stellen Sie sicher, dass der im Parameter clientKeystore angegebene Keystore den privaten Schlüssel und die öffentlichen Zertifikate des Kunden enthält, die für die SSL-Kommunikation mit Ariba verwendet werden (öffentlicher Schlüssel, Zwischenzertifikate, Wurzelzertifikate).
Wenn der HTTPS-Post fehlschlägt, kann der Kunde die folgenden Parameter in der Datei toolslib.bat/.sh im ITK-bin-Verzeichnis aktivieren, um Debug-Informationen zu Client/Server-Hallo und Handshake-Informationen zu drucken:

a) Navigieren Sie zu <ITK_install_root>/bin.
b) Bearbeiten Sie die Datei toolslib.bat/.sh.
c) Legen Sie die folgenden Argumente fest, und sichern Sie:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletrans.jferar"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,1,TLSv1.2\" -jar DIR\"$aribar/transaribSEil\"
Wenn das ITK das nächste Mal ausgeführt wird und versucht, an Ariba zu senden, zeigt das Protokoll die SSL-Handshake-/Zertifikatsinformationen an.

Prüfen Sie den Inhaber, den Aussteller und die Gültigkeitsdaten für die Zertifikate, die für den Keystore des Kunden gefunden wurden. Diese Informationen sollten nach dem Eintrag im ITK-Protokoll an HTTPS an die Ariba-URL gedruckt werden. Prüfen Sie, ob die gefundenen Zertifikate mit denselben Client-Zertifikatsinformationen übereinstimmen, die sie im Keystore erwarten.

a) Im Keystore des Clients sollte ein gültiges Zertifikat gefunden werden.
Beispiel:
****Running File Transfer Tool at Wed Nov 11 13:22:54 PDT 2020****
Buchung auf https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
Schlüssel für gefunden: <clients_keystore>

b) Der *** ClientHello, TLSv1 wird initiiert.
c) Der *** ServerHello, TLSv1 wird initiiert, und der öffentliche Ariba-Schlüssel (Zertifikatskette) wird an den Client gesendet.
d) Es sollte ein vertrauenswürdiges Zertifikat gefunden werden.
e) Der *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 wird initiiert, wo der Client den Schlüsselaustausch sendet, der mit dem öffentlichen Ariba-Schlüssel signiert ist.
f) Ariba entschlüsselt das PreMasterSecret. Dies ist der Punkt, an dem der Benutzer bei einem Fehler einen Fehler wie den folgenden sehen kann. Wenn dies der Fall ist, kann das Problem mit den Zertifikaten im Keystore auftreten: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Zusätzliche Informationen

Die gültigen Bereiche sind unten aufgeführt.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Gilt für

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing