Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Español - Traducción automática	
Deutsch - Traducción automática English Français (France) - Traducción automática Italiano - Traducción automática 日本語 - Traducción automática 한국어 - Traducción automática Português (Brasil) - Traducción automática Русский - Traducción automática 简体中文 - Traducción automática

Nota de asistencia técnica 160343

Consejos para solucionar errores de autenticación de certificados con el kit de herramientas de integración (ITK)

Este artículo de la base de conocimientos ha sido traducido automáticamente para su comodidad. SAP no ofrece ninguna garantía con respecto a la exactitud o integridad de la traducción automática. Puede acceder al contenido original si cambia al inglés mediante el selector de idiomas.

Problema

Hay ocasiones en las que la herramienta de transferencia de datos (DTT) del kit de herramientas de integración (ITK) puede fallar al utilizar la autenticación basada en certificados con errores en torno a SSL o errores de establecimiento de comunicación. Esta solución está pensada para instancias ITK independientes instaladas en un servidor, no instaladas en SAP NetWeaver PI.

Causa

El problema suele deberse a cadenas de certificados incompletas o certificados incorrectos que se utilizan en el almacén de claves del cliente.

En la resolución de problemas, verifique lo siguiente:

Asegúrese de que el cliente utilice certificados de clave pública/intermedia/raíz emitidos por una autoridad de certificación de confianza de Ariba. Los certificados autofirmados no se pueden utilizar con ITK y la autenticación basada en certificados.
Asegúrese de que el cliente ha activado el extremo en la aplicación Ariba para que sea un método de autenticación de Certificado,

(Upstream): Gestionar > Administración > Administrador de integración > Seguridad del kit de herramientas de integración
(Downstream): Gestionar > Administración central > Administrador de integración > Seguridad del kit de herramientas de integración
En el archivo de opciones (.bat/.sh), asegúrese de que el parámetro urlPrefix esté establecido correctamente en https://xxxxx/Sourcing/filedownload o https://xxxxx/Buyer/fileupload, donde xxxxx sería uno de los sitios enumerados en la sección Información adicional y debe utilizarse según corresponda. Por ejemplo: establezca urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
En el archivo de opciones (.bat/.sh), asegúrese de que los siguientes parámetros estén establecidos y no estén comentados:
ClientKeystore
clientKeystorePassword
clientKeyPassword
Asegúrese de que el keystore especificado en el parámetro clientKeystore contenga la clave privada del cliente y los certificados públicos que se utilizan para la comunicación SSL con Ariba (certificados de clave pública, intermedios, raíz).
Si falla la publicación HTTPS, el cliente puede habilitar los siguientes parámetros en el archivo toolslib.bat/.sh en el directorio bin ITK para imprimir información de depuración relacionada con la hola cliente/servidor y la información de establecimiento de comunicación:

a) Vaya a <ITK_install_root>/bin
b) Editar el archivo toolslib.bat/.sh
c) Establezca los siguientes argumentos y guarde:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocolos=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocolos="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiles%\aribafiles" %aribafiles% transfer.jar

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocolos=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocolos=\"TLSv1.1,TLSv1.2\" -jar \"$CL.ASjar"$CL.ASjar
La próxima vez que se ejecute el ITK e intente publicar en Ariba, el registro mostrará la información del establecimiento de comunicación/certificado SSL.

Verifique el asunto, el emisor y las fechas de validez para los certificados encontrados para el almacén de claves del cliente. Esta información debe imprimirse después de la entrada en el registro ITK en HTTPS post en la URL de Ariba. Verifique que los certificados encontrados coincidan con la misma información de certificado de cliente que esperan en el almacén de claves.

a) Se debe encontrar un certificado válido en el almacén de claves del cliente.
Ejemplo:
****Ejecución de la herramienta de transferencia de archivos en Wed Nov 11 13:22:54 PDT 2020****
contabilizar en https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
clave encontrada para : <clients_keystore>

b) Se iniciará el *** ClientHello, TLSv1
c) Se iniciará el *** ServerHello, TLSv1 y la clave pública de Ariba (cadena de certificados) se enviará al cliente
d) Se debe encontrar un certificado de confianza
e) El *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 se iniciará cuando el cliente envíe el intercambio de claves firmado con la clave pública de Ariba
f) Ariba descifra el PreMasterSecret. Este es el punto en el que, si se produce un fallo, el usuario puede ver un error como el siguiente. Si es así, el problema puede estar con los certificados en el almacén de claves: javax.net.ssl.SSLHandshakeException: Recibido alerta fatal: handshake_fail

Información adicional

Los territorios válidos se enumeran a continuación,

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Se aplica a

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing