Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis 160343

Tipps zur Fehlerbehebung bei Zertifikatsauthentifizierungsfehlern mit dem Integration Toolkit (ITK)

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Problem

Es kann vorkommen, dass das Integration Toolkit (ITK) Data Transfer Tool (DTT) fehlschlägt, wenn die zertifikatsbasierte Authentifizierung mit Fehlern in Bezug auf SSL oder Handshake-Fehler verwendet wird. Diese Lösung ist für eigenständige ITK-Instanzen gedacht, die auf einem Server installiert sind und nicht auf SAP NetWeaver PI installiert sind.

Ursache

Das Problem wird in der Regel dadurch verursacht, dass unvollständige Zertifikatsketten oder falsche Zertifikate im Keystore des Kunden verwendet werden.

Prüfen Sie bei der Fehlerbehebung Folgendes:

Stellen Sie sicher, dass der Kunde öffentliche Schlüssel/Zwischen-/Stammzertifikate verwendet, die von einer Zertifizierungsstelle ausgestellt werden, der Ariba vertraut. Selbstsignierte Zertifikate können nicht mit dem ITK und der zertifikatsbasierten Authentifizierung verwendet werden.
Stellen Sie sicher, dass der Kunde den Endpunkt in der Ariba-Anwendung als Authentifizierungsmethode Zertifikat aktiviert hat.

(Upstream): Verwalten > Administration > Integrations-Manager > Integrations-Toolkit-Sicherheit
(Downstream): Verwalten > Ariba Administrator > Integrations-Manager > Integrations-Toolkit-Sicherheit
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass der Parameter urlPrefix korrekt auf https://xxxxx/Sourcing/filedownload oder https://xxxxx/Buyer/fileupload gesetzt ist, wobei xxxxx eine der im Abschnitt Zusätzliche Informationen aufgeführten Sites ist und entsprechend verwendet werden muss. Beispiel: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload oder set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass die folgenden Parameter gesetzt und entkommentiert sind:
clientKeystore
clientKeystorePassword
clientKeyPassword
Stellen Sie sicher, dass der im Parameter clientKeystore angegebene Keystore den privaten Schlüssel und die öffentlichen Zertifikate des Kunden enthält, die für die SSL-Kommunikation mit Ariba verwendet werden (öffentlicher Schlüssel, Zwischen-, Stammzertifikate).
Wenn der HTTPS-Post fehlschlägt, kann der Kunde die folgenden Parameter in der Datei toolslib.bat/.sh im ITK-bin-Verzeichnis aktivieren, um Debug-Informationen zu Client/Server-Hallo und Handshake-Informationen zu drucken:

a) Navigieren Sie zu <ITK_install_root>/bin.
b) Bearbeiten Sie die Datei toolslib.bat/.sh.
c) Legen Sie die folgenden Argumente fest, und sichern Sie:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletrans.jferar" %aribetrans.jferar"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1,TLSv1.2\" -jar \"$ransetfer_list.jafSSEDIR
Wenn das ITK das nächste Mal ausgeführt wird und versucht, an Ariba zu senden, zeigt das Protokoll die SSL-Handshake-/Zertifikatsinformationen an.

Prüfen Sie Betreff, Aussteller und Gültigkeitsdaten für die Zertifikate, die für den Keystore des Kunden gefunden wurden. Diese Informationen sollten nach dem Eintrag im ITK-Protokoll an HTTPS gedruckt werden, das an die Ariba-URL gesendet wird. Prüfen Sie, ob die gefundenen Zertifikate mit den Client-Zertifikatsinformationen übereinstimmen, die sie im Keystore erwarten.

a) Im Keystore des Clients sollte ein gültiges Zertifikat gefunden werden.
Beispiel:
****Running File Transfer Tool at Wed Nov 11 13:22:54 PDT 2020****
Buchung auf https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
Schlüssel für gefunden: <clients_keystore>

b) *** ClientHello, TLSv1 wird initiiert
c) *** ServerHello, TLSv1 wird initiiert, und der öffentliche Ariba-Schlüssel (Zertifikatskette) wird an den Client gesendet.
d) Es sollte ein vertrauenswürdiges Zertifikat gefunden werden.
e) Die *** ClientKeyExchange, RSA PreMasterSecret und TLSv1 werden initiiert, wenn der Client den mit dem öffentlichen Ariba-Schlüssel signierten Schlüsselaustausch sendet.
f) Ariba entschlüsselt das PreMasterSecret. Dies ist der Punkt, an dem der Benutzer bei einem Fehler einen Fehler wie den folgenden sehen kann. Wenn dies der Fall ist, liegt das Problem möglicherweise bei den Zertifikaten im Keystore: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Zusätzliche Informationen

Die gültigen Bereiche sind unten aufgeführt.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Gilt für

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing