Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance KB0394858

Conseils pour la correction des erreurs d'authentification de certificat avec l'outil d'intégration

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Problème

Parfois, l'outil de transfert de données (DTT) Integration Toolkit (ITK) peut échouer lors de l'utilisation d'une authentification basée sur un certificat avec des erreurs concernant SSL ou des échecs d'établissement de liaison. Cette solution est destinée aux instances ITK autonomes installées sur un serveur et non sur SAP NetWeaver PI.

Cause

Le problème est généralement dû à des chaînes de certificats incomplètes ou à des certificats incorrects utilisés dans le keystore du client.

Lors de la correction des erreurs, vérifiez les éléments suivants :

Assurez-vous que le client utilise des certificats de clé publique/intermédiaire/racine émis par une autorité de certification approuvée par Ariba. Les certificats auto-signés ne peuvent pas être utilisés avec l’authentification ITK et basée sur un certificat.
Assurez-vous que le client a activé le point de terminaison dans l'application Ariba comme méthode d'authentification de Certificat.

(En amont) : Gérer > Administration > Gestionnaire d'intégration > Sécurité des outils d'intégration
(En aval) : Gérer > Administration du système > Gestionnaire d'intégration > Sécurité des outils d'intégration
Dans le fichier d'options (.bat/.sh), assurez-vous que le paramètre urlPrefix est correctement défini sur https://xxxxx/Sourcing/filedownload ou https://xxxxx/Buyer/fileupload, où xxxxx serait l'un des sites répertoriés dans la section Informations supplémentaires et doit être utilisé de manière appropriée. Par exemple : set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload our set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Dans le fichier d'options (.bat/.sh), assurez-vous que les paramètres suivants sont définis et non commentés :
clientKeystore
clientKeystorePassword
clientKeyPassword
Assurez-vous que le keystore spécifié dans le paramètre clientKeystore contient la clé privée et les certificats publics du client utilisés pour la communication SSL avec Ariba (clé publique, intermédiaire, certificats racine).
Si la publication HTTPS échoue, le client peut activer les paramètres suivants dans le fichier toolslib.bat/.sh du répertoire bin ITK pour imprimer les informations de débogage concernant le client/serveur hello et les informations d'établissement de liaison :

a) Aller à <ITK_install_root>/bin
b) Modifier le fichier toolslib.bat/.sh
c) Définissez les arguments suivants et sauvegardez :

Windows : set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocoles=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocoles="TLSv1.1,TLSv1.2" -jar "%CLASSESDIargR%\aribiletransferar%"

Linux/Unix : _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocoles=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocoles=\"TLSv1.1,TLSv1.2\" -jar"$transféril.client.protocoles=\"TLSv1.1,TLSv1.2\" -jar"$transferil.client.protocoles=\"TLSv1.1,TLSv1.2\" -jar"$transférilarib_SESESR"
La prochaine fois que l'ITK s'exécutera et tentera de publier sur Ariba, le journal affichera les informations de l'établissement de liaison/du certificat SSL.

Vérifiez l' objet, l' émetteur et les dates de validité pour le(s) certificat(s) trouvé(s) pour le keystore du client. Ces informations doivent être imprimées après l'entrée dans le journal ITK sur HTTPS après publication sur l'URL Ariba. Vérifiez que le ou les certificats trouvés correspondent aux informations de certificat client qu'ils attendent dans le keystore.

a) Un certificat valide doit être trouvé dans le keystore du client.
Exemple :
****Exécution de l'outil de transfert de fichiers au mer 11 nov. 13:22:54 PDT 2020****
comptabilisation sur https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
clé trouvée pour : <keystore client>

b) Le *** ClientHello, TLSv1 sera lancé
c) Le *** ServeurBonjour, TLSv1 sera initié et la clé publique Ariba (chaîne de certificats) sera envoyée au client.
d) Un certificat de confiance doit être trouvé.
e) Le *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 sera lancé lorsque le client enverra l'échange de clés signé avec la clé publique Ariba.
f) Ariba décrypte le PreMasterSecret. C'est le point où, en cas d'échec, l'utilisateur peut voir une erreur comme suit. Si c'est le cas, le problème peut survenir avec les certificats dans le keystore : javax.net.ssl.SSLHandshakeException : Alerte fatale reçue : handshake_error

Informations supplémentaires

Les domaines valides sont répertoriés ci-dessous.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

S'applique à

Achats
Contrats stratégiques
Sourcing stratégique
Supplier Information and Performance Management