Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Nota di supporto KB0394858

Suggerimenti per l'eliminazione degli errori di autenticazione del certificato con Integration Toolkit (ITK)

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Problema

Ci sono momenti in cui il toolkit di integrazione (ITK) Data Transfer Tool (DTT) può fallire quando si utilizza l'autenticazione basata su certificato con errori relativi a SSL o errori handshake. Questa soluzione è pensata per le istanze ITK standalone installate su un server, non installate in SAP NetWeaver PI.

Causa

Il problema è dovuto in genere a catene di certificati incomplete o a certificati errati utilizzati nel keystore del cliente.

Durante l'eliminazione degli errori, controllare quanto segue:

Assicurarsi che il cliente utilizzi certificati chiave pubblica/intermedia/radice emessi da un'autorità di certificazione attendibile Ariba. I certificati autofirmati non possono essere utilizzati con il toolkit di integrazione e l’autenticazione basata sul certificato.
Assicurarsi che il cliente abbia abilitato l'endpoint nell'applicazione Ariba come metodo di autenticazione del certificato.

(Upstream): Gestisci > Amministrazione > Gestione integrazione > Sicurezza toolkit integrazione
(Downstream): Gestisci > Amministrazione centrale > Gestione integrazione > Sicurezza toolkit integrazione
Nel file di opzioni (.bat/.sh), assicurarsi che il parametro urlPrefix sia impostato correttamente su https://xxxxx/Sourcing/filedownload o https://xxxxx/Buyer/fileupload, dove xxxxx sarebbe uno dei siti elencati nella sezione Informazioni aggiuntive e deve essere utilizzato in base alle esigenze. Ad esempio: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Nel file di opzioni (.bat/.sh), assicurarsi che i seguenti parametri siano impostati e non commentati:
clientKeystore
clientKeystorePassword
clientKeyPassword
Assicurarsi che il keystore specificato nel parametro clientKeystore contenga la chiave privata e i certificati pubblici del cliente utilizzati per la comunicazione SSL con Ariba (chiave pubblica, intermedio, certificati radice).
Se il post HTTPS non riesce, il cliente può abilitare i seguenti parametri nel file toolslib.bat/.sh nella directory bin ITK per stampare le informazioni di debug relative alle informazioni client/server hello e handshake:

a) Passare a <ITK_install_root>/bin
b) Modificare il file toolslib.bat/.sh
c) Impostare i seguenti argomenti e salvare:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocol=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocol="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar" %args%

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocol=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocol=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESDIR/ranils.ranilsfer.aribafjar"
La prossima volta che l'ITK verrà eseguito e tenterà di registrarlo in Ariba, il registro mostrerà le informazioni relative all'handshake/al certificato SSL.

Controllare l'oggetto, l'emittente, le date di validità per i certificati trovati per il keystore del cliente. Queste informazioni devono essere stampate dopo l'inserimento nel registro del toolkit di integrazione in HTTPS pubblicato nell'URL Ariba. Verificare che i certificati trovati corrispondano alle stesse informazioni sul certificato client previste nel keystore.

a) È necessario trovare un certificato valido dal keystore del client.
Esempio:
****Esecuzione dello strumento di trasferimento file a Wed Nov 11 13:22:54 PDT 2020****
registrazione su https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
ha trovato chiave per: <clients_keystore>

b) Verrà avviato *** ClientHello, TLSv1
c) Verrà avviato il *** ServerHello, TLSv1 e la chiave pubblica Ariba (catena di certificati) verrà inviata al cliente
d) Trovare un certificato attendibile
e) Verrà avviato *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 in cui il cliente invia lo scambio di chiavi firmato con la chiave pubblica Ariba
f) Ariba decodifica PreMasterSecret. Questo è il punto in cui, in caso di errore, l'utente potrebbe visualizzare un errore come il seguente. In caso affermativo, il problema potrebbe risiedere nei certificati presenti nel keystore: javax.net.ssl.SSLHandshakeException: Ricevuto avviso fatale: handshake_error

Informazioni supplementari

I realm validi sono elencati di seguito.

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Si applica a

Acquisti
Contratti strategici
Strategic Sourcing
Supplier Information & Performance Management