Tips for Troubleshooting Certificate Authentication failures with the Integration Toolkit (ITK)

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Nota de suporte KB0394858

Dicas para solucionar problemas de falhas de autenticação de certificado com o kit de ferramentas de integração (ITK)

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Problema

Há momentos em que a ferramenta de transferência de dados (TDT) do kit de ferramentas de integração (ITK) pode falhar ao usar a autenticação baseada em certificado com erros em torno de falhas de SSL ou handshake. Esta solução destina-se a instâncias ITK independentes instaladas em um servidor, não instaladas no SAP NetWeaver PI.

Causa

O problema geralmente se deve a cadeias de certificados incompletas ou certificados incorretos usados no keystore do cliente.

Ao solucionar problemas, verifique o seguinte:

Certifique-se de que o cliente esteja usando certificados de chave pública/intermediária/raiz emitidos por uma autoridade de certificação confiável da Ariba. Certificados autoassinados não podem ser usados com o ITK e autenticação baseada em certificado.
Certifique-se de que o cliente habilitou o ponto de extremidade no aplicativo Ariba para ser um método de autenticação de Certificado,

(Upstream): Gerenciar > Administração > Gerenciador de integração > Segurança do kit de ferramentas de integração
(Downstream): Gerenciar > Administração principal > Gerenciador de integração > Segurança do kit de ferramentas de integração
No arquivo de opções (.bat/.sh), certifique-se de que o parâmetro urlPrefix está definido corretamente como https://xxxxx/Sourcing/filedownload ou https://xxxxx/Buyer/fileupload, em que xxxxx seria um dos sites listados na seção Informações adicionais e deve ser usado conforme apropriado. Por exemplo: set urlPrefix=https://s1-integration.ariba.com/Sourcing/filedownload orr set urlPrefix=https://s1-integration.ariba.com/Buyer/fileupload
No arquivo de opções (.bat/.sh), certifique-se de que os seguintes parâmetros estão definidos e não são comentados:
clientKeystore
clientKeystorePassword
clientKeyPassword
Certifique-se de que o keystore especificado no parâmetro clientKeystore contém a chave privada do cliente e os certificados públicos que estão sendo usados para a comunicação SSL com Ariba (chave pública, intermediário, certificados-raiz).
Se a publicação HTTPS estiver falhando, o cliente poderá habilitar os seguintes parâmetros no arquivo toolslib.bat/.sh no diretório bin do ITK para imprimir informações de depuração relacionadas às informações de hello e handshake do cliente/servidor:

a) Vá para <ITK_install_root>/bin
b) Edite o arquivo toolslib.bat/.sh
c) Defina os seguintes argumentos e salve:

Windows: set _command="%JAVA_HOME%\bin\java" -Djavax.net.debug=ssl:handshake:verbose -Dhttps.protocolos=TLSv1.1,TLSv1.2 -Djdk.tls.client.protocolos="TLSv1.1,TLSv1.2" -jar "%CLASSESDIR%\aribafiletransfer.jar"

Linux/Unix: _command="$JAVA_HOME/bin/java -Djavax.net.debug=\"ssl:handshake:verbose\" -Dhttps.protocolos=\"TLSv1.1,TLSv1.2\" -Djdk.tls.client.protocolos=\"TLSv1.1,TLSv1.2\" -jar \"\$ba_CLASSESfilR"
Na próxima vez que o ITK for executado e tentar publicar na Ariba, o registro mostrará as informações de handshake/certificado SSL.

Verifique Assunto, Emissor, Datas de validade para o(s) certificado(s) encontrado(s) para o keystore do cliente. Essas informações devem ser impressas após a entrada no log de ITK para publicação HTTPS no URL da Ariba. Verifique se os certificados encontrados correspondem às mesmas informações de certificado do client que esperam estar no keystore.

a) Um certificado válido deve ser encontrado na keystore do cliente.
Exemplo:
****Executando ferramenta de transferência de arquivos em Wed Nov 11 13:22:54 PDT 2020****
lançamento em https://certs1.ariba.com/Buyer/filedownload?realm=abcCompany
***
chave encontrada para: <clients_keystore>

b) O *** ClientHello, TLSv1 será iniciado
c) O *** ServerHello, TLSv1 será iniciado e a chave pública da Ariba (cadeia de certificados) será enviada ao cliente
d) Deve ser encontrado um certificado confiável
e) O *** ClientKeyExchange, RSA PreMasterSecret, TLSv1 será iniciado onde o cliente envia a troca de chaves assinada com a chave pública Ariba
f) A Ariba descriptografa o PreMasterSecret. Este é o ponto em que, se ocorrer uma falha, o usuário pode ver um erro como o seguinte. Em caso afirmativo, o problema pode estar com os certificados na keystore: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Informações adicionais

Os realms válidos estão listados a seguir:

service-2-eu.ariba.com
service-2-ru.ariba.com
s1-integration.ariba.com
certs1-integration.ariba.com
s3-integration.ariba.com
certs3-integration.ariba.com
s1-integration-eu.ariba.com
certs1-integration-eu.ariba.com
s1-integration-ru.ariba.com
certs1-integration-ru.ariba.com
service-2.ariba.com
certservice-2.ariba.com

Aplicável a

Compras
Contratos estratégicos
Sourcing estratégico
Supplier Information & Performance Management