Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Nota de suporte 160343

Dicas para solucionar falhas de autenticação de certificado com o kit de ferramentas de integração (ITK)

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Problema

Existem momentos em que a ferramenta de transferência de dados (TDT) do kit de ferramentas de integração (ITK) pode falhar ao usar a autenticação baseada em certificado com erros em torno de SSL ou falhas de handshake. Esta solução destina-se a instâncias ITK independentes instaladas em um servidor, não instaladas no SAP NetWeaver PI.

Causa

O problema é normalmente devido a cadeias de certificados incompletas ou certificados incorretos sendo usados na keystore do cliente.

Ao solucionar problemas, verifique o seguinte:

Certifique-se de que o cliente está usando certificados de chave pública/intermediária/raiz emitidos por uma autoridade certificadora confiável pela Ariba. Os certificados autoassinados não podem ser usados com o ITK e a autenticação baseada em certificado.
Certifique-se de que o cliente ativou o ponto de extremidade no aplicativo Ariba para ser um método de autenticação de Certificado,

(Upstream): Gerenciar > Administração > Gerenciador de integração > Segurança do kit de ferramentas de integração
(Downstream): Gerenciar > Administração principal > Gerenciador de integração > Segurança do kit de ferramentas de integração
No arquivo de opções (.bat/.sh), certifique-se de que o parâmetro urlPrefix esteja definido corretamente como https://xxxxx/Sourcing/filedownload ou https://xxxxx/Buyer/fileupload, em que xxxxx seria um dos sites listados na seção Informações adicionais e deve ser usado conforme apropriado. Por exemplo: defina urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
No arquivo de opções (.bat/.sh), certifique-se de que os seguintes parâmetros estão definidos e não comentados:
clientKeystore
clientKeystorePassword
Senha da chave do cliente
Certifique-se de que o keystore especificado no parâmetro clientKeystore contém a chave privada do cliente e os certificados públicos que estão sendo usados para a comunicação SSL com Ariba (chave pública, intermediária, certificados-raiz).
Se a publicação HTTPS estiver falhando, o cliente pode habilitar os seguintes parâmetros no arquivo toolslib.bat/.sh no diretório ITK bin para imprimir informações de depuração sobre as informações de cliente/servidor hello e handshake:

a) Vá para <ITK_install_root>/bin
b) Edite o arquivo toolslib.bat/.sh
c) Defina os seguintes argumentos e salve:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocolos=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocolos="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %args "

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocolos=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocolos=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESDIeDIariR"
Na próxima vez que o ITK for executado e tentar publicar na Ariba, o registro mostrará as informações de handshake/certificado SSL.

Verifique o Assunto, Emissor, Datas de validade para o(s) certificado(s) encontrado(s) para o keystore do cliente. Essas informações devem ser impressas após a entrada no registro ITK para HTTPS postar no URL da Ariba. Verifique se os certificados encontrados correspondem às mesmas informações de certificado do client que esperam que estejam no keystore.

a) Um certificado válido deve ser encontrado na keystore do cliente.
Exemplo:
****Executando ferramenta de transferência de arquivos na qua Nov 11 13:22:54 PDT 2020****
lançamento em https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
chave encontrada para: <clients_keystore>

b) O *** ClientHello, TLSv1 será iniciado
c) O *** ServerHello, TLSv1 será iniciado e a chave pública da Ariba (cadeia de certificados) será enviada ao cliente
d) Um certificado confiável deve ser encontrado
e) O *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 será iniciado onde o cliente envia a troca de chaves assinada com a chave pública da Ariba
f) A Ariba descriptografa o PreMasterSecret. Este é o ponto em que, se ocorrer uma falha, o usuário poderá ver um erro como o seguinte. Em caso afirmativo, o problema pode estar com os certificados na keystore: javax.net.ssl.SSLHandshakeExceção: alerta fatal recebido: handshake_failure

Informações adicionais

Os realms válidos estão listados abaixo,

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Aplicável a

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing