Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Nota de suporte 160343

Dicas para solucionar falhas de autenticação de certificado com o kit de ferramentas de integração (ITK)

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Problema

Há momentos em que a ferramenta de transferência de dados (DTT) do kit de ferramentas de integração (ITK) pode falhar ao usar a autenticação baseada em certificado com erros em relação a falhas de SSL ou handshake. Esta solução destina-se a instâncias de ITK independentes instaladas em um servidor, não instaladas no SAP NetWeaver PI.

Causa

O problema é normalmente devido a cadeias de certificados incompletas ou certificados incorretos sendo utilizados na keystore do cliente.

Ao solucionar o problema, verifique o seguinte:

Certifique-se de que o cliente esteja usando certificados de chave pública/intermediária/raiz emitidos por uma autoridade certificadora confiável da Ariba. Os certificados autoassinados não podem ser utilizados com o ITK e a autenticação baseada em certificado.
Certifique-se de que o cliente habilitou o ponto de extremidade no aplicativo Ariba para ser um método de autenticação de Certificado,

(Upstream): Gerenciar > Administração > Gerenciador de integração > Segurança do kit de ferramentas de integração
(Downstream): Gerenciar > Administração principal > Gerenciador de integração > Segurança do kit de ferramentas de integração
No arquivo de opções (.bat/.sh), certifique-se de que o parâmetro urlPrefix esteja definido corretamente como https://xxxxx/Sourcing/filedownload ou https://xxxxx/Buyer/fileupload, em que xxxxx seria um dos sites listados na seção Informações adicionais e deve ser usado conforme apropriado. Por exemplo: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
No arquivo de opções (.bat/.sh), certifique-se de que os seguintes parâmetros estejam definidos e não comentados:
clientKeystore
clientKeystorePassword
clientKeyPassword
Certifique-se de que o keystore especificado no parâmetro clientKeystore contém a chave privada do cliente e os certificados públicos que estão sendo usados para a comunicação SSL com a Ariba (chave pública, intermediária, certificados-raiz).
Se a publicação HTTPS estiver falhando, o cliente pode ativar os seguintes parâmetros no arquivo toolslib.bat/.sh no diretório ITK bin para imprimir informações de depuração relativas às informações hello e handshake do cliente/servidor:

a) Vá para <ITK_install_root>/bin
b) Edite o arquivo toolslib.bat/.sh
c) Defina os seguintes argumentos e salve:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocolos=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocolos="TLSv1.1,TLSv1.2" -CLASSESDIR% %CLASSESDIR%\aribajar"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocolos=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocolos=\"TLSv1.1,TLSv1.2\" -R transferarijar"$CLASbajar"$CLASSv1.1,TLSv1.2\" -R transferarijar"$CLASbajar"$CLASSv1.1,TLSv1.2\" -R transferarijar"$CLASbajar"$CLASSv1.1,TLSv1.2\" -R transferarijar"$CLASbajar"
Na próxima vez que o ITK for executado e tentar lançar na Ariba, o log mostrará as informações de handshake/certificado SSL.

Verifique o assunto, o emissor e as datas de validade para o(s) certificado(s) encontrado(s) para a keystore do cliente. Essas informações devem ser impressas após a entrada no log ITK para publicação HTTPS no URL da Ariba. Verifique se o(s) certificado(s) encontrado(s) corresponde(m) às mesmas informações de certificado do cliente que eles esperam estar na keystore.

a) Um certificado válido deve ser encontrado na keystore do cliente.
Exemplo:
****Executando ferramenta de transferência de arquivos em Qua Nov 11 13:22:54 PDT 2020****
postando para https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
encontrou chave para: <clients_keystore>

b) O *** ClientHello, TLSv1 será iniciado
c) O *** ServerHello, TLSv1 será iniciado e a chave pública da Ariba (cadeia de certificados) será enviada ao cliente
d) Um certificado confiável deve ser encontrado
e) O *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 será iniciado para que o cliente envie a troca de chaves assinada com a chave pública da Ariba
f) A Ariba descriptografa o PreMasterSecret. Este é o ponto em que, se ocorrer uma falha, o usuário poderá ver um erro como o seguinte. Se assim for, o problema pode estar com os certificados na keystore: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Informações adicionais

Os realms válidos estão listados abaixo,

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Aplicável a

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing