Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance 160343

Conseils pour corriger les erreurs d'authentification par certificat avec les outils d'intégration (ITK)

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Problème

Il arrive que l'outil de transfert de données (DTT) Integration Toolkit (ITK) échoue lors de l'utilisation de l'authentification basée sur un certificat avec des erreurs autour des échecs SSL ou de liaison. Cette solution est destinée aux instances ITK autonomes installées sur un serveur et non installées sur SAP NetWeaver PI.

Cause

Le problème est généralement dû à des chaînes de certificats incomplètes ou à des certificats incorrects utilisés sur le keystore du client.

Lors de la correction des erreurs, vérifiez les points suivants :

Veille à ce que le client utilise des certificats de clé publique/intermédiaire/racine émis par une autorité de certification approuvée par Ariba. Les certificats auto-signés ne peuvent pas être utilisés avec l'authentification basée sur les certificats et les clés d'identification informatiques.
Assurez-vous que le client a activé le point de terminaison dans l'application Ariba comme méthode d'authentification du certificat.

(Amont) : Gérer > Administration > Gestionnaire d'intégration > Sécurité des outils d'intégration
(Aval) : Gérer > Administration du système > Gestionnaire d'intégration > Sécurité des outils d'intégration
Dans le fichier d'options (.bat/.sh), assurez-vous que le paramètre urlPrefix est correctement défini sur https://xxxxx/Sourcing/filedownload ou https://xxxxx/Buyer/fileupload, où xxxxx serait l'un des sites répertoriés dans la section Informations supplémentaires et doit être utilisé le cas échéant. Par exemple : set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Dans le fichier d'options (.bat/.sh), assurez-vous que les paramètres suivants sont définis et non commentés :
clientKeystore
clientKeystorePassword
clientKeyPassword
Assurez-vous que le keystore spécifié dans le paramètre clientKeystore contient la clé privée du client et les certificats publics utilisés pour la communication SSL avec Ariba (clé publique, certificats intermédiaires, racine).
Si le post HTTPS échoue, le client peut activer les paramètres suivants dans le fichier toolslib.bat/.sh du répertoire bin ITK pour imprimer les informations de débogage concernant le client/serveur bonjour et les informations de handshake :

a) Accédez à <ITK_install_root>/bin
b) Modifier le fichier toolslib.bat/.sh
c) Définissez les arguments suivants et sauvegardez :

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocol=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocoles="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribile.jar"\aftransfere.jar"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocoles=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocoles=\"TLSv1.1,TLSv1.2\" -jar \"$SCLASeCLASeR" -jar \"$SaribeCLASeR"
La prochaine fois que l'ITK s'exécute et tente d'effectuer une publication sur Ariba, le journal affichera les informations de liaison/certificat SSL.

Vérifiez l' objet, l' émetteur, les dates de validité pour le(s) certificat(s) trouvé(s) pour le keystore du client. Ces informations doivent être imprimées après l'entrée dans le journal ITK vers HTTPS, après l'URL Ariba. Vérifiez que le(s) certificat(s) trouvé(s) correspond(nt) aux mêmes informations de certificat client attendues dans le keystore.

a) Un certificat valide doit être trouvé dans le keystore du client.
Exemple :
****Exécution de l'outil de transfert de fichiers à Wed 11 13:22:54 PDT 2020****
enregistrement sur https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
clé trouvée pour : <clients_keystore>

b) Le client *** Bonjour, TLSv1 sera lancé
c) Le *** ServerHello, TLSv1 sera initié et la clé publique Ariba (chaîne de certificats) sera envoyée au client.
d) Un certificat de confiance doit être trouvé.
e) Le *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 sera initié lorsque le client enverra l'échange de clés signé avec la clé publique Ariba.
f) Ariba décrypte le PreMasterSecret. C'est le point où, en cas de défaillance, l'utilisateur peut voir une erreur comme ce qui suit. Si c'est le cas, le problème peut résider avec les certificats dans le keystore : javax.net.ssl.SSLHandshakeException : Reçu alerte fatale : handshake_fail

Informations supplémentaires

Les domaines valides sont répertoriés ci-dessous.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

S'applique à

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing