Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	简体中文 - 机器翻译	
Deutsch - 机器翻译 English Español - 机器翻译 Français (France) - 机器翻译 Italiano - 机器翻译日本語 - 机器翻译 한국어 - 机器翻译 Português (Brasil) - 机器翻译 Русский - 机器翻译

支持注释 160343

使用集成工具箱 (ITK) 排除证书验证失败的提示

为您方便起见，此知识库文章由机器进行翻译。SAP Ariba 不会对有关机器翻译的准确性或完整性提供任何保证。您可以通过使用语言选择器切换到英语来查找原始内容。

问题

有时，使用基于证书的验证时，集成工具箱 (ITK) 数据传输工具 (DTT) 可能会失败，并且存在有关 SSL 或握手失败的错误。此解决方案适用于安装在服务器上且未安装在 SAP NetWeaver PI 上的独立 ITK 实例。

原因

该问题通常是由证书链不完整或在客户密钥库上使用的证书不正确所致。

故障排除时，请检查以下内容：

确保客户使用由 Ariba 信任的证书颁发机构颁发的公共密钥/中间/根证书。自签名证书不能与 ITK 和基于证书的验证一起使用。
确保客户已在 Ariba 应用程序中启用端点作为 证书的验证方法。

（上游）： 管理 > 管理 > 集成管理器 > 集成工具箱安全性
（下游）： 管理 > 核心管理 > 集成管理器 > 集成工具箱安全性
在选项文件 (.bat/.sh) 中，确保参数 urlPrefix 正确设置为 https://xxxxx/Sourcing/fileddownload 或 https://xxxxx/Buyer/fileupload，其中 xxxxx 是附加信息部分列出的站点之一，必须根据需要使用。例如：set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
在选项文件 (.bat/.sh) 中，确保设置下列参数并取消注释：
clientKeystore
clientKeystorePassword
clientKeyPassword
确保在 clientKeystore 参数中指定的密钥库包含用于与 Ariba（公钥、中间、根证书）的 SSL 通信的客户私钥和公共证书。
如果 HTTPS 发布失败，客户可以在 ITK bin 目录中的 toolslib.bat/.sh 文件中启用以下参数，以打印有关客户端/服务器 hello 和握手信息的调试信息：

a) 转到 <ITK_install_root>/bin
b) 编辑 toolslib.bat/.sh 文件
c) 设置以下参数并保存：

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocols=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocols="TL1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %s%

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshar:verbose\" -Dhttps.protocols=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocols=\"TLSv1.1,TLSv1.1.2" -jar \"$CLASSESSDIR/aribafiletransfer.jar\"
当 ITK 下次运行并尝试向 Ariba 发布时，日志将显示 SSL 握手/证书信息。

检查为客户密钥库找到的证书的主题、颁发者、有效日期。此信息应在 ITK 日志中的条目后打印到 HTTPS，并发布到 Ariba URL。检查找到的证书是否与预期在密钥库中的客户端证书信息匹配。

a) 应从客户端的密钥库中找到有效证书。
示例：
****在 11 月 11 日星期三运行文件传输工具 13:22:54 PDT 2020****
发布到 https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
已找到的密钥：<clients_keystore>

b) 将启动 *** 客户端您好，TLSv1
c) *** ServerHello, TLSv1 将启动，Ariba 公钥（证书链）将发送到客户端
d) 应找到受信任的证书
e) 将在客户发送使用 Ariba 公钥签名的密钥交换时启动 *** ClientKeyExchange、RSA PreMasterSecret、TLSv1
f) Ariba 解密 PreMasterSecret。此时，如果发生故障，用户可能会看到如下错误。如果是，问题可能位于密钥库中的证书：javax.net.ssl.SSLHandshakeException：已收到致命警报：handshake_failure

附加信息

下面列出了有效的领域，

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

适用产品

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing