|
SSL またはハンドシェイクエラーに関するエラーのある証明書ベースの認証を使用すると、統合ツールキット (ITK) データ転送ツール (DTT) が失敗することがあります。この解決方法は、SAP NetWeaver PI にインストールされていないサーバにインストールされたスタンドアロン ITK インスタンスを対象としています。
この問題は、通常、不完全な証明書チェーンまたはカスタマのキーストアで使用されている不適切な証明書によって発生します。
トラブルシューティングの際は、以下を確認してください。
Ariba アプリケーションでエンドポイントが証明書の認証方法として有効化されていることを確認します。
(アップストリーム): [管理] > [管理] > [統合マネージャ] > [統合ツールキットのセキュリティ]
(ダウンストリーム): [管理] > [コアシステム管理] > [統合マネージャ] > [統合ツールキットのセキュリティ]
HTTPS ポストが失敗した場合、ITK bin ディレクトリの toolslib.bat/.sh ファイルで以下のパラメータを有効にして、クライアント/サーバの hello およびハンドシェイク情報に関するデバッグ情報を印刷することができます。
a) <ITK_install_root>/bin に移動します。
b) toolslib.bat/.sh ファイルを編集します。
c) 以下の引数を設定し、保存します。
Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:ハンドシェイク:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %args%
Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESariba/filetransfer.jar"
次回 ITK が実行され、Ariba への投稿が試行されると、ログに SSL ハンドシェイク/証明書情報が表示されます。
カスタマのキーストアに対して見つかった証明書のサブジェクト、発行者、有効日付をチェックします。この情報は、ITK ログの HTTPS への入力後、Ariba URL に印刷する必要があります。見つかった証明書が、キーストアに存在することが予想されるクライアント証明書情報と同じであることを確認します。
a) クライアントのキーストアから有効な証明書が見つかります。
たとえば、
****実行: Wed Nov 11 13:22:54 PDT 2020****
https://certs1.ariba.com/Buyer/filedownload? への転記realm=abcCompany
***
見つかったキー: <clients_keystore>
b) *** ClientHello、TLSv1 が開始されます。
c) *** ServerHello、TLSv1 が開始され、Ariba 公開鍵 (証明書チェーン) がクライアントに送信されます。
d) 認証された証明書が見つかります。
e) *** ClientKeyExchange、RSA PreMasterSecret、TLSv1 が開始され、クライアントは Ariba 公開鍵で署名された鍵交換を送信します。
f) Ariba では PreMasterSecret が復号化されます。 ここでエラーが発生すると、次のようなエラーがユーザに表示される場合があります。その場合は、キーストア内の証明書に問題がある可能性があります (javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure)。
有効なレルムを以下に示します。
SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing