Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Информация от службы поддержки 160343

Советы по исправлению ошибок аутентификации сертификатов с помощью Integration Toolkit (ITK)

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Проблема

Существуют ситуации, когда инструмент переноса данных (DTT) Integration Toolkit (ITK) может завершиться неудачно при использовании аутентификации на основе сертификата с ошибками, связанными с SSL или сбоями квитирования. Это решение предназначено для автономных инстанций ITK, установленных на сервере, а не на SAP NetWeaver PI.

Причина

Проблема, как правило, связана с неполными цепочками сертификатов или неправильными сертификатами, используемыми в хранилище ключей клиента.

При устранении неполадок проверьте следующее:

Убедитесь, что клиент использует открытый ключ/промежуточные/корневые сертификаты, выданные доверенным центром сертификации Ariba. Самостоятельно подписанные сертификаты нельзя использовать с ITK и аутентификацией на основе сертификата.
Убедитесь, что клиент активировал конечную точку в приложении Ariba как метод аутентификации сертификата.

(Upstream): Управление > Администрирование > Диспетчер интеграции > Безопасность Integration Toolkit
(Ниже по потоку): Управление > Базовое администрирование > Диспетчер интеграции > Безопасность Integration Toolkit
В файле опций (.bat/.sh) убедитесь, что для параметра urlPrefix правильно установлено значение https://xxxxx/Sourcing/filedownload или https://xxxxx/Buyer/fileupload, где xxxxx является одним из сайтов, перечисленных в разделе Дополнительная информация, и должен использоваться в соответствии с необходимостью. Например: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Убедитесь, что в файле параметров (.bat/.sh) заданы и не комментируются следующие параметры:
clientKeystore
clientKeystorePassword
clientKeyPassword
Убедитесь, что хранилище ключей, указанное в параметре clientKeystore, содержит личный ключ клиента и общедоступные сертификаты, используемые для коммуникации с Ariba по протоколу SSL (открытый ключ, промежуточные сертификаты, корневые сертификаты).
В случае сбоя HTTPS-сообщения клиент может включить следующие параметры в файле toolslib.bat/.sh в каталоге ITK bin, чтобы распечатать информацию об отладке, касающуюся приветствия клиента/сервера и подтверждения:

a) Перейдите к <ITK_install_root>/bin
b) Измените файл toolslib.bat/.sh
c) Задайте следующие аргументы и сохраните их:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafile.jar" %args%

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.2\" -jar"$CLASSESDIR/aribargile.transferitjar\" $afafarg_jar"
При следующем запуске ITK и попытке его публикации в Ariba в журнале будет отображаться информация о подтверждении/сертификате SSL.

Проверьте тему, издателя, сроки действия сертификатов, найденных для хранилища ключей клиента. Эта информация должна быть напечатана после записи в журнале ITK для HTTPS-публикации по URL-адресу Ariba. Убедитесь, что найденные сертификаты соответствуют ожидаемым данным сертификатов клиента в хранилище ключей.

a) Действительный сертификат должен быть найден в хранилище ключей клиента.
Пример:
****Запуск инструмента передачи файлов в Wed Nov 11 13:22:54 PDT 2020****
проводка в https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
Найден ключ для: <clients_keystore>

b) Будет инициирован *** ClientHello, TLSv1
c) *** ServerHello, TLSv1 будут инициированы, а открытый ключ (цепочка сертификатов) Ariba будет отправлен клиенту.
d) Должен быть найден доверенный сертификат
e) Будет инициирован *** ClientKeyExchange, RSA PreMasterSecret, TLSv1, где клиент отправляет обмен ключами, подписанными открытым ключом Ariba
f) Ariba расшифровывает PreMasterSecret. Именно в этом случае в случае сбоя пользователь может увидеть ошибку, как показано ниже. В этом случае проблема может возникнуть в сертификатах в хранилище ключей: javax.net.ssl.SSLHandshakeException: получено предупреждение со смертельным исходом: handshake_failure

Дополнительная информация

Ниже перечислены допустимые сферы,

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Применимо к

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing