Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Nota di supporto KB0394858

Suggerimenti per la risoluzione dei problemi di autenticazione dei certificati con il toolkit di integrazione

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Problema

Esistono casi in cui lo strumento di trasferimento dati ITK (Integration Toolkit) potrebbe non riuscire quando si utilizza l'autenticazione basata su certificato con errori relativi a SSL o handshake. Questa soluzione è pensata per istanze ITK standalone installate su un server e non installate in SAP NetWeaver PI.

Causa

Il problema è dovuto in genere all'utilizzo di catene di certificati incomplete o di certificati errati nell'archivio chiavi del cliente.

Durante l'eliminazione degli errori, controllare quanto segue:

Assicurarsi che il cliente utilizzi certificati di chiave pubblica/intermedia/radice emessi da un'autorità di certificazione ritenuta affidabile da Ariba. I certificati autofirmati non possono essere utilizzati con il toolkit di integrazione e l'autenticazione basata sul certificato.
Assicurarsi che il cliente abbia abilitato l'endpoint nell'applicazione Ariba come metodo di autenticazione Certificato.

(Upstream): Gestisci > Amministrazione > Gestione integrazione > Sicurezza toolkit integrazione
(Downstream): Gestisci > Amministrazione centrale > Gestione integrazione > Sicurezza toolkit integrazione
Nel file delle opzioni (.bat/.sh), assicurarsi che il parametro urlPrefix sia impostato correttamente su https://xxxxx/Sourcing/filedownload o https://xxxxx/Buyer/fileupload, dove xxxxx sarebbe uno dei siti elencati nella sezione Informazioni aggiuntive e deve essere utilizzato in base alle esigenze. Ad esempio: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
Nel file delle opzioni (.bat/.sh), assicurarsi che i seguenti parametri siano impostati e privi di commento:
clientKeystore
clientKeystorePassword
clientKeyPassword
Assicurarsi che il keystore specificato nel parametro clientKeystore contenga la chiave privata del cliente e i certificati pubblici utilizzati per la comunicazione SSL con Ariba (chiave pubblica, certificati intermedi, radice).
Se il post HTTPS non riesce, il cliente può abilitare i seguenti parametri nel file toolslib.bat/.sh nella directory bin ITK per stampare le informazioni di debug relative al client/server hello e alle informazioni handshake:

a) Passare a <ITK_install_root>/bin
b) Modificare il file toolslib.bat/.sh
c) Impostare i seguenti argomenti e salvare:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocol=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocol="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletranran.jar" %Sv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletranran.jar" %sr

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocol=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocol=\"TLSv1.1,TLSv1.2\" -jar \"$CLASSESDIR/aribet.sferets"
Alla successiva esecuzione del toolkit di integrazione e dei tentativi di pubblicazione in Ariba, il registro mostrerà le informazioni di handshake/certificato SSL.

Controllare Oggetto, Emittente, Date di validità dei certificati trovati per il keystore del cliente. Queste informazioni devono essere stampate dopo la voce nel registro del toolkit di integrazione in HTTPS post nell'URL Ariba. Verificare che i certificati trovati corrispondano alle stesse informazioni del certificato client che si prevede si trovino nel keystore.

a) È necessario trovare un certificato valido dal keystore del client.
Esempio:
****Esecuzione di File Transfer Tool a Wed Nov 11 13:22:54 PDT 2020****
pubblicazione su https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
chiave trovata per : <clients_keystore>

b) verrà avviato *** ClientHello, TLSv1
c) Verrà avviato *** ServerHello, TLSv1 e la chiave pubblica Ariba (catena di certificati) verrà inviata al client
d) È necessario trovare un certificato attendibile
e) verrà avviato *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 dove il cliente invia lo scambio di chiavi firmato con la chiave pubblica Ariba
f) Ariba decodifica PreMasterSecret. Questo è il punto in cui, se si verifica un errore, l'utente potrebbe visualizzare un errore come il seguente. In caso affermativo, il problema potrebbe risiedere nei certificati nel keystore: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_fail

Informazioni supplementari

I realm validi sono elencati di seguito,

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Si applica a

Acquisti
Contratti strategici
Strategic Sourcing
Supplier Information & Performance Management