SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis KB0406291

SAP-PI-/PO-Fehler: "SSLException while handshaking:handshake failure" beim Herstellen einer Verbindung zu SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Symptom

Nach der Aktivität zur Härtung von Cipher Suites für das verwaltete Gateway für Spend Management und SAP Business Network TLS 1.2 schlagen alle meine ausgehenden Nachrichten von SAP Process Integration/Process Orchestration (PI/PO), die an Ariba SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network (CIG) gesendet werden, mit dem folgenden SSL-Handshake-Fehler fehl:

SSLException while handshaking: Peer sent alert: Alert Fatal: handshake failure

Ursache

1. Im Rahmen der TLS-1.2-Cipher-Suite-Härtung werden die Verschlüsselungen für SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network, für SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network abgekündigt. Sie wurden entfernt, um Perfect Forward Secrecy (PFS) nicht zu unterstützen, und werden während des TLS-Handshakes nicht mehr angeboten. Wenn einer Ihrer externen Clients noch eine der folgenden veralteten Cipher Suites zum Einrichten des SSL-Handshakes verwendet, kann nicht mit SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network kommunizieren. Infolgedessen schlagen Transaktionen mit SSL-Handshake-Fehlern fehl.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. Gemäß der Client-Server-Architektur zeigt der Client eine Liste von Verschlüsselungen an, und der Server wählt die unterstützte Verschlüsselung aus, und der SSL-Handshake wird eingerichtet. Wenn Ihr SAP-PI-Client nicht mindestens eine der unterstützten Verschlüsselungen von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network während des TLS-Handshakes mit SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Server sendet, tritt ein SSL-Handshake-Fehler auf.

Lösung

Stellen Sie sicher, dass die IAIK-Java-Bibliothek Ihrer SAP-PI-Version (SAP NetWeaver für AS Java) eine der folgenden Verschlüsselungen unterstützt (d.h. entweder ECDHE oder DHE), um einen erfolgreichen SSL-Handshake mit Host-URLs des verwalteten Gateways für Spend Management und SAP Business Network einzurichten. Je nachdem, für welches Rechenzentrum des verwalteten Gateways für Spend Management und SAP Business Network Sie eine Verbindung herstellen, ändert sich diese URL.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Die oben genannten ECDHE- oder DHE-Verschlüsselungen sind möglicherweise nicht standardmäßig in jedem SAP-PI-System aktiviert und hängen von Ihrer spezifischen SAP-PI-Version ab. Lesen Sie den Wissensdatenbankartikel Wie prüfe ich die Liste der Cipher Suites, die in meiner SAP-PI-AS-Java-Laufzeit aktiviert sind? für Schritte, um die Liste der in Ihrem SAP-PI-System aktivierten Verschlüsselungen zur Laufzeit zu prüfen.

Führen Sie die folgenden Schritte aus, um eine allgemeine Anleitung zum Aktivieren von ECHDE- oder DHE-Verschlüsselungen in Ihrem SAP-PI-System zu erhalten:

Informationen zur Unterstützung der oben aufgeführten TLS_ECDHE-Verschlüsselungen in Ihrer SAP-PI-Version finden Sie unten:

1. Wenn in Ihrer SAP PI nur TLS_ECDHE-Verschlüsselungen verwendet werden sollen, sind nur die Optionen verfügbar, die im SAP-Wissensdatenbankartikel 2538934 - Handshake is failed in PI when connect to a server that only support TLS_ECDHE ciphers beschrieben sind.
2. Um ECDHE-Verschlüsselungen zu aktivieren, muss sich Ihr SAP-PI-System in einer Version befinden, in der der SAP-Hinweis 2708581 - ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java eingespielt werden kann. Dieser SAP-Hinweis ist nur für SAP NetWeaver AS Java Release 7.50 Support Package 08 oder höher verfügbar.
3. Wenn sich Ihr SAP-PI-System auf einer niedrigeren Version als oben angegeben befindet, z.B. SAP PI 7.50 SP07 usw. unterstützt es keine ECDHE-Verschlüsselungen. Aktivieren Sie in diesem Fall ECDHE nicht mit SSLContext.properties, da sonst Probleme auftreten, die sich auf alle Ihre Integrationen auswirken.
Wenn Ihre SAP-PI-Version aufgeführte ECDHE-Verschlüsselungen nicht unterstützt, können Sie die DHE-Verschlüsselungen aktivieren, die noch Teil der oben unterstützten Liste von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Endpunkt sind. Informationen zur Unterstützung von DHE-Verschlüsselungen in Ihrer SAP-PI-Version finden Sie unten:

1. Um DHE-Verschlüsselungen zu aktivieren, können Sie den SAP-Wissensdatenbankartikel 2569156 - How to create, modify and validation SSLContext.properties file befolgen. Dies gilt für SAP-PI-Umgebungen von SAP NetWeaver für AS Java 7.1X/7.2/7.3X/7.4/7.5.
2. Beachten Sie Folgendes: Wenn in der Datei SSLContext.properties kein Cipher-Suite-Eintrag vorhanden ist, bedeutet dies, dass Standardeinträge verwendet werden, die im SAP-Hinweis 2284059 - Aktualisierung der SSL-Bibliothek im NW-Java-Server "Cipher suites supported in the default configuration" aufgeführt sind.
3. Wenn Sie eine andere Cipher-Suite-Konfiguration als die Standardkonfiguration verwenden möchten, lesen Sie den Abschnitt "Modify the list of supported cipher suites" des SAP-Hinweises 2284059 - Update of SSL library into NW Java server und im Wissensdatenbankartikel 2616983 - How to customizing cipher suites in SSLContext.properties file with parameter cipherSuite=<name of cipher suite>.
4. Beachten Sie, dass nur eine solche Zeile alle Standardverschlüsselungen deaktiviert und sie explizit aufgeführt werden müssen, wenn Sie die Standardverschlüsselungen weiterhin verwenden möchten, wenn Sie diesen Parameter konfiguriert haben.
SSLContext.properties wird vom System geladen, wenn Ihr AS Java startet. Daher erfordert jede Änderung in dieser Datei einen Systemneustart, um die Änderungen in Ihrem System verfügbar zu machen. Daher kann ein oder mehrere der oben genannten Schritte einen Neustart von SAP PI erfordern. Planen Sie daher entsprechend.
Für keinen dieser Schritte gibt es eine Behelfslösung, und Sie sollten sicherstellen, dass SAP PI mit mindestens einer der unterstützten Verschlüsselungen kompatibel ist, die in SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Endpunkt aufgeführt sind, um Transaktionen erfolgreich auszuführen.

Siehe auch

Wenden Sie sich an Ihre internen SAP-PI-Basis-/Sicherheitsteams, um weitere Details zur Prüfung zu erhalten, ob Ihre SAP-PI-Version mit einer der oben aufgeführten unterstützten Verschlüsselungen von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network kompatibel ist, und implementieren Sie die Änderungen entsprechend Ihrer PI-Version.
Wenn Ihre SAP-PI-Basis-/Sicherheitsteams weitere Erläuterungen zur Implementierung der Änderungen in Ihrem SAP-PI-System benötigen oder auch nach dem Lesen Fragen dazu haben, was für Ihr Szenario relevant ist, legen Sie eine SAP-PI-Kundenmeldung unter der Komponente BC-JAS-SEC-CPG (SAP Netweaver AS Java) oder BC-XI-CON-AFW-SEC (Sicherheit) an, da es sich um eine reine SAP-PI-Basis-/Sicherheitskonfiguration handelt. Die Schritte zum Anlegen einer SAP-OSS-Meldung sind in FAQ Wie lege ich eine SAP-OSS-Meldung an?
Weitere Informationen finden Sie in den folgenden SAP-Wissensdatenbankartikeln:

1. SAP-Wissensdatenbankartikel Enable JCE Unlimited Policies gemäß 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suites sind nur mit dieser Option verfügbar.
2. 2284059 - Aktualisierung der SSL-Bibliothek im SAP-NetWeaver-Java-Server
3. 2604240 - TLS-Handshake-Fehler aufgrund fehlender SNI-Erweiterung

Gilt für

SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für Beschaffungsintegration
SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für SAP Business Network
SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für SAP Business Network SCC > Verwaltetes Gateway für Käufer - SAP Business Network SCC