Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート 160343

統合ツールキット (ITK) による証明書認証エラーのトラブルシューティングのヒント

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

問題

SSL またはハンドシェイクエラーに関するエラーがある証明書ベースの認証の使用時に、統合ツールキット (ITK) データ転送ツール (DTT) が失敗することがあります。この解決方法は、SAP NetWeaver PI にインストールされていないサーバにインストールされたスタンドアロン ITK インスタンスを対象としています。

原因

この問題は、通常、カスタマのキーストアで証明書チェーンが不完全であるか、不適切な証明書が使用されていることが原因です。

トラブルシューティングを行う場合は、以下を確認してください。

Ariba が信頼する認証機関によって発行された公開鍵/中間/ルート証明書を顧客が使用していることを確認します。自己署名証明書は、ITK および証明書ベースの認証では使用できません。
顧客が Ariba アプリケーションでエンドポイントを証明書の認証方法として有効化していることを確認します。

(アップストリーム): 管理 > 管理 > 統合マネージャ > 統合ツールキットのセキュリティ
(ダウンストリーム): [管理] > [コアシステム管理] > [統合マネージャ] > [統合ツールキットのセキュリティ]
オプションファイル (.bat/.sh) で、パラメータ urlPrefix が https://xxxxx/Sourcing/filedownload または https://xxxxx/Buyer/fileupload に正しく設定されていることを確認します。xxxxx は、追加情報セクションに一覧表示されているサイトの 1 つであり、適切に使用する必要があります。例: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
オプションファイル (.bat/.sh) で、以下のパラメータが設定されており、コメントが解除されていることを確認します。
クライアントキーストア
clientKeystorePassword
clientKeyPassword
clientKeystore パラメータで指定されたキーストアに、Ariba との SSL 通信に使用される顧客の秘密鍵および公開証明書 (公開鍵、中間、ルート証明書) が含まれていることを確認します。
HTTPS Post が失敗した場合、カスタマは ITK bin ディレクトリの toolslib.bat/.sh ファイルで以下のパラメータを有効化して、クライアント/サーバの hello およびハンドシェイク情報に関するデバッグ情報を印刷することができます。

a) <ITK_install_root>/bin に移動します。
b) toolslib.bat/.sh ファイルを編集します。
c) 以下の引数を設定して保存します。

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %args%

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESDIR/aribafiletransfer.jar\" $_args"
ITK が次回実行され、Ariba への送信が試行されると、ログに SSL ハンドシェイク/証明書情報が表示されます。

顧客のキーストアで見つかった証明書のサブジェクト、発行者、有効日付を確認します。この情報は、ITK ログのエントリの後に印刷して、HTTPS で Ariba URL に送信する必要があります。見つかった証明書が、キーストアに存在することが想定されているのと同じクライアント証明書情報と一致していることを確認します。

a) 有効な証明書がクライアントのキーストアから見つかる必要があります。
たとえば、
****Wed Nov 11 13:22:54 PDT 2020 でのファイル転送ツールの実行****
https://certs1.ariba.com/Buyer/filedownload? への投稿realm=abcCompany
***
のキーが見つかりました: <clients_keystore>

b) *** ClientHello, TLSv1 が開始されます。
c) *** ServerHello, TLSv1 が開始され、Ariba の公開鍵 (証明書チェーン) がクライアントに送信されます。
d) 信頼された証明書が見つかります。
e) *** ClientKeyExchange、RSA PreMasterSecret、TLSv1 が開始され、クライアントは Ariba 公開鍵で署名された鍵交換を送信します。
f) PreMasterSecret が復号化されます。これは、エラーが発生した場合に以下のようなエラーが表示される可能性があるポイントです。その場合、キーストア内の証明書に問題がある可能性があります: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

追加情報

有効なレルムは以下のとおりです。

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

該当項目

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing