Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis 160343

Tipps zur Fehlerbehebung bei Zertifikatsauthentifizierungsfehlern mit dem Integration Toolkit (ITK)

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Problem

Es kann vorkommen, dass das Integration Toolkit (ITK) Data Transfer Tool (DTT) fehlschlägt, wenn die zertifikatbasierte Authentifizierung mit Fehlern bezüglich SSL oder Handshake-Fehlern verwendet wird. Diese Lösung ist für eigenständige ITK-Instanzen vorgesehen, die auf einem Server und nicht auf SAP NetWeaver PI installiert sind.

Ursache

Das Problem wird in der Regel durch unvollständige Zertifikatsketten oder falsche Zertifikate verursacht, die im Keystore des Kunden verwendet werden.

Prüfen Sie bei der Fehlerbehebung Folgendes:

Stellen Sie sicher, dass der Kunde öffentliche Schlüssel-/Zwischen-/Stammzertifikate verwendet, die von einer von Ariba vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden. Selbstsignierte Zertifikate können nicht mit der ITK- und zertifikatsbasierten Authentifizierung verwendet werden.
Stellen Sie sicher, dass der Kunde den Endpunkt in der Ariba-Anwendung als Authentifizierungsmethode des Zertifikats aktiviert hat.

(Upstream): Verwalten > Administration > Integrations-Manager > Integrations-Toolkit-Sicherheit
(Nachgelagert): Verwalten > Ariba Administrator > Integrations-Manager > Integrations-Toolkit-Sicherheit
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass der Parameter urlPrefix korrekt auf https://xxxxx/Sourcing/filedownload oder https://xxxxx/Buyer/fileupload gesetzt ist, wobei xxxxx eine der im Abschnitt Zusätzliche Informationen aufgeführten Sites ist und entsprechend verwendet werden muss. Beispiel: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Stellen Sie in der Optionsdatei (.bat/.sh) sicher, dass die folgenden Parameter gesetzt und nicht kommentiert sind:
clientKeystore
clientKeystorePassword
clientKeyPassword
Stellen Sie sicher, dass der im Parameter clientKeystore angegebene Keystore den privaten Schlüssel des Kunden und die öffentlichen Zertifikate enthält, die für die SSL-Kommunikation mit Ariba verwendet werden (öffentlicher Schlüssel, Zwischenzertifikate, Stammzertifikate).
Wenn die HTTPS-Buchung fehlschlägt, können Sie die folgenden Parameter in der Datei toolslib.bat/.sh im ITK-Bin-Verzeichnis aktivieren, um Debug-Informationen zu Client/Server-Hallo und Handshake-Informationen zu drucken:

a) Navigieren Sie zu <ITK_install_root>/bin.
b) Bearbeiten Sie die Datei toolslib.bat/.sh.
c) Legen Sie die folgenden Argumente fest, und sichern Sie:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%%\afaribaretransarfer.jars"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -j\ ar"$afilk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -j\ ar"$afilk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -j\ ar"$afilil.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -j\ ar"$afilil.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -j\ ar"$afilsfer.jDIR"
Wenn das ITK das nächste Mal ausgeführt wird und versucht, an Ariba zu senden, zeigt das Protokoll die SSL-Handshake-/Zertifikatsinformationen an.

Prüfen Sie den Inhaber, den Aussteller und die Gültigkeitsdaten für die Zertifikate, die für den Keystore des Kunden gefunden wurden. Diese Informationen sollten nach dem Eintrag im ITK-Protokoll an HTTPS-Post an die Ariba-URL gedruckt werden. Prüfen Sie, ob die gefundenen Zertifikate mit denselben Client-Zertifikatsinformationen übereinstimmen, die sie im Keystore erwarten.

a) Im Keystore des Clients sollte ein gültiges Zertifikat gefunden werden.
Beispiel:
****Running File Transfer Tool at Wed Nov 11 13:22:54 PDT 2020****
Buchung auf https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
found key for : <clients_keystore>

b) Der *** ClientHello, TLSv1 wird initiiert
c) Der *** ServerHello, TLSv1 wird initiiert, und der öffentliche Ariba-Schlüssel (Zertifikatskette) wird an den Client gesendet.
d) Ein vertrauenswürdiges Zertifikat sollte gefunden werden.
e) *** ClientKeyExchange, RSA PreMasterSecret und TLSv1 werden initiiert, wenn der Client den mit dem öffentlichen Ariba-Schlüssel signierten Schlüsselaustausch sendet.
f) Ariba entschlüsselt das PreMasterSecret. Dies ist der Punkt, an dem im Falle eines Fehlers dem Benutzer ein Fehler wie der folgende angezeigt wird: Wenn ja, liegt das Problem möglicherweise bei den Zertifikaten im Keystore: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Zusätzliche Informationen

Die gültigen Bereiche sind unten aufgeführt.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Gilt für

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing