Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート 160343

統合ツールキット (ITK) での証明書認証エラーのトラブルシューティングのヒント

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

問題

SSL やハンドシェイクエラーに関するエラーを含む証明書ベースの認証を使用すると、統合ツールキット (ITK) データ転送ツール (DTT) が失敗することがあります。この解決方法は、SAP NetWeaver PI にインストールされていないサーバにインストールされたスタンドアロン ITK インスタンスを対象としています。

原因

この問題は、通常、不完全な証明書チェーンまたはカスタマのキーストアで使用されている証明書が不適切であることが原因です。

トラブルシューティングを行う場合は、以下を確認してください。

お客様が、Ariba が信頼する認証機関によって発行された公開鍵/中間/ルート証明書を使用していることを確認します。自己署名証明書は、ITK および証明書ベースの認証では使用できません。
顧客が Ariba アプリケーションでエンドポイントを [証明書] の認証方法として有効化していることを確認します。

(アップストリーム): [管理] > [システム管理] > [統合マネージャ] > [統合ツールキットのセキュリティ]
(ダウンストリーム): [管理] > [コアシステム管理] > [統合マネージャ] > [統合ツールキットのセキュリティ]
オプションファイル (.bat/.sh) で、パラメータ urlPrefix が https://xxxxx/Sourcing/filedownload または https://xxxxx/Buyer/fileupload に正しく設定されていることを確認します。ここで、xxxxx は [追加情報] セクションに一覧表示されているサイトの 1 つであり、適切に使用する必要があります。例: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload または set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
オプションファイル (.bat/.sh) で、以下のパラメータが設定およびコメント解除されていることを確認します。
クライアントキーストア
clientKeystorePassword
clientKeyPassword
clientKeystore パラメータで指定されたキーストアに、Ariba との SSL 通信に使用される顧客の秘密鍵および公開証明書 (公開鍵、中間、ルート証明書) が含まれていることを確認します。
HTTPS POST が失敗した場合は、ITK bin ディレクトリの toolslib.bat/.sh ファイルで以下のパラメータを有効化して、クライアント/サーバ hello およびハンドシェイク情報に関するデバッグ情報を印刷することができます。

a) <ITK_install_root>/bin に移動します。
b) toolslib.bat/.sh ファイルを編集します。
c) 以下の引数を設定して保存します。

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:shake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %args%

Linux/UNIX: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESDIR/filaribaetransfer.jar\" $_args"
ITK が次回実行され、Ariba への投稿が試行されると、ログに SSL ハンドシェイク/証明書情報が表示されます。

カスタマのキーストアに対して見つかった証明書のサブジェクト、発行者、有効日付を確認します。この情報は、ITK ログの Ariba URL への HTTPS ポストのエントリ後に印刷する必要があります。見つかった証明書が、キーストアに存在すると予想されるものと同じクライアント証明書情報と一致していることを確認します。

a) クライアントのキーストアから有効な証明書が見つかる必要があります。
たとえば、
****Wed Nov 11 13:22:54 PDT 2020 でのファイル転送ツールの実行****
https://certs1.ariba.com/Buyer/filedownload? への投稿realm=abcCompany
***
次のキーが見つかりました: <clients_keystore>

b) *** ClientHello, TLSv1 が開始されます。
c) *** ServerHello, TLSv1 が開始され、Ariba 公開鍵 (証明書チェーン) がクライアントに送信されます。
d) 信頼できる証明書が見つかる
e) *** ClientKeyExchange、RSA PreMasterSecret、TLSv1 が開始され、クライアントは Ariba 公開鍵で署名された鍵交換を送信します。
f) Ariba は PreMasterSecret を解読します。これは、障害が発生した場合に、以下のようなエラーが表示される可能性があるポイントです。その場合は、キーストア内の証明書に問題がある可能性があります (javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure)。

追加情報

有効なレルムは以下のとおりです。

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

該当項目

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing