SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis KB0406291

SAP-PI/PO-Fehler "SSLException while handshaking:handshake failure" beim Herstellen einer Verbindung zu SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Symptom

Nach der Abhärtungsaktivität von TLS 1.2 Cipher Suites für das verwaltete Gateway für Spend Management und SAP Business Network schlagen alle meine Ausgangsnachrichten von SAP Process Integration/Process Orchestration (PI/PO), die an Ariba SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network (CIG) gesendet werden, mit dem folgenden SSL-Handshake-Fehler fehl:

SSLException during handshaking: Peer sent alert: Alert Fatal: handshake failure

Ursache

1. Im Rahmen der TLS-1.2-Verschlüsselungssuite, die SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network härtet, werden die folgenden Verschlüsselungen für SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network abgekündigt. Sie wurden entfernt, um Perfect Forward Secrecy (PFS) nicht zu unterstützen, und werden während des TLS-Handshakes nicht mehr angeboten. Wenn einer Ihrer externen Clients noch eine der folgenden veralteten Cipher Suites verwendet, um einen SSL-Handshake einzurichten, kann er nicht mit SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network kommunizieren. Infolgedessen schlagen Transaktionen mit SSL-Handshake-Fehlern fehl.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. Gemäß der Client-Server-Architektur zeigt der Client eine Liste von Verschlüsselungen an, und der Server wählt die unterstützte Verschlüsselung aus, und der SSL-Handshake wird eingerichtet. Wenn Ihr SAP-PI-Client nicht mindestens eine der von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network unterstützten Verschlüsselungen während des TLS-Handshakes mit SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Server sendet, tritt ein SSL-Handshake-Fehler auf.

Lösung

Stellen Sie sicher, dass die IAIK-Java-Bibliothek Ihrer SAP-PI-Version (SAP NetWeaver für AS Java) eine der folgenden Verschlüsselungen (d.h. ECDHE oder DHE) unterstützt, um einen erfolgreichen SSL-Handshake mit Host-URLs des verwalteten Gateways für Spend Management und SAP Business Network einzurichten. Je nachdem, welches Rechenzentrum des verwalteten Gateways für Spend Management und SAP Business Network Sie verbinden, ändert sich diese URL.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Die oben genannten ECDHE- oder DHE-Verschlüsselungen sind möglicherweise nicht standardmäßig in jedem SAP-PI-System aktiviert und hängen von Ihrer spezifischen SAP-PI-Version ab. Weitere Informationen finden Sie im Wissensdatenbankartikel How do I check the list of Cipher suites enabled in my SAP PI AS Java runtime? für Schritte zum Prüfen der Liste der Verschlüsselungen, die in Ihrem SAP-PI-System zur Laufzeit aktiviert sind.

Eine allgemeine Anleitung zum Aktivieren von ECHDE- oder DHE-Verschlüsselungen in Ihrem SAP-PI-System finden Sie in den folgenden Schritten:

Informationen zur Unterstützung der oben aufgeführten TLS_ECDHE-Verschlüsselungen in Ihrer SAP-PI-Version finden Sie unten:

1. Wenn in Ihrer SAP PI nur TLS_ECDHE-Verschlüsselungen verwendet werden sollen, sind die einzigen Optionen, die im SAP-Wissensdatenbankartikel 2538934 - Handshake is failed in PI when connect to a server that supported TLS_ECDHE ciphers beschrieben sind.
2. Um ECDHE-Verschlüsselungen zu aktivieren, muss sich Ihr SAP-PI-System in einer Version befinden, in der der SAP-Hinweis 2708581 - ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java eingespielt werden kann. Dieser Hinweis ist nur für das SAP-NetWeaver-AS-Java-Release 7.50 Support Package 08 oder höher verfügbar.
3. Wenn Ihr SAP-PI-System eine niedrigere Version als oben angegeben verwendet, z.B. SAP PI 7.50 SP07 usw. unterstützt es keine ECDHE-Verschlüsselungen. Aktivieren Sie in diesem Fall ECDHE nicht mit SSLContext.properties, da sonst Probleme auftreten, die sich auf alle Ihre Integrationen auswirken.
Wenn Ihre SAP-PI-Version die aufgeführten ECDHE-Verschlüsselungen nicht unterstützt, können Sie die DHE-Verschlüsselungen aktivieren, die noch Teil der oben unterstützten Liste von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Endpunkt sind. Informationen zur Unterstützung von DHE-Verschlüsselungen in Ihrer SAP-PI-Version finden Sie unten:

1. Um DHE-Verschlüsselungen zu aktivieren, können Sie dem SAP-Wissensdatenbankartikel 2569156 - How to create, modify and validation SSLContext.properties file folgen. Dies gilt für SAP-PI-Umgebungen von SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5.
2. Beachten Sie Folgendes: Wenn in der Datei SSLContext.properties kein Cipher-Suite-Eintrag vorhanden ist, bedeutet dies, dass Standardeinträge verwendet werden, die im SAP-Hinweis 2284059 - Aktualisierung der SSL-Bibliothek im NW-Java-Server "Cipher suites supported in the default configuration" aufgeführt sind.
3. Wenn Sie eine andere Cipher-Suite-Konfiguration als die Standardkonfiguration verwenden möchten, lesen Sie den Abschnitt "Liste der unterstützten Cipher Suites ändern" des SAP-Hinweises 2284059 - Aktualisierung der SSL-Bibliothek auf dem SAP-NetWeaver-Java-Server und im Wissensdatenbankartikel 2616983 - Anpassung von Cipher Suites in der Datei SSLContext.properties mit dem Parameter cipherSuite=<Name der Cipher Suite>.
4. Beachten Sie, dass nur eine solche Zeile alle Standardverschlüsselungen deaktiviert und explizit aufgeführt werden muss, wenn Sie die Standardverschlüsselungen weiterhin verwenden möchten, wenn Sie diesen Parameter konfiguriert haben.
SSLContext.properties wird vom System geladen, wenn Ihr AS Java startet. Daher erfordert jede Änderung in dieser Datei einen Systemneustart, um die Änderungen in Ihrem System verfügbar zu machen. Daher kann mindestens einer der oben genannten Schritte einen Neustart von SAP PI erfordern. Planen Sie daher entsprechend.
Es gibt keine Behelfslösung für einen dieser Schritte, und Sie sollten sicherstellen, dass SAP PI mit mindestens einer der unterstützten Verschlüsselungen kompatibel ist, die in SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Endpunkt aufgeführt sind, um erfolgreich Transaktionen auszuführen.

Siehe auch

Wenden Sie sich an Ihre internen SAP-PI-Basis-/Sicherheitsteams, um weitere Details zur Validierung zu erhalten, ob Ihre SAP-PI-Version mit einer der oben aufgeführten Verschlüsselungen von SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network kompatibel ist, und implementieren Sie Änderungen, die Ihrer PI-Version entsprechen.
Wenn Ihre SAP-PI-Basis-/Sicherheitsteams weitere Erläuterungen zur Implementierung der Änderungen in Ihrem SAP-PI-System benötigen oder Fragen dazu haben, was für Ihr Szenario auch nach dem Lesen oben relevant ist, legen Sie eine SAP-PI-OSS-Meldung unter der Komponente BC-JAS-SEC-CPG (SAP NetWeaver AS Java) oder BC-XI-CON-AFW-SEC (Sicherheit) an, da es sich hierbei um eine reine SAP-PI-Basis-/Sicherheitskonfiguration handelt. Die Schritte zum Anlegen einer SAP-OSS-Meldung sind in FAQ beschrieben. Wie lege ich eine SAP-OSS-Meldung an?
Weitere Informationen finden Sie in den folgenden SAP-Wissensdatenbankartikeln:

1. SAP KBA Enable JCE Unlimited Policies gemäß 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suites sind nur mit dieser Option verfügbar.
2. 2284059 - Aktualisierung der SSL-Bibliothek im SAP-NetWeaver-Java-Server
3. 2604240 - TLS-Handshake-Fehler aufgrund fehlender SNI-Erweiterung

Gilt für

SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für Beschaffungsintegration
SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für SAP Business Network
SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für SAP Business Network SCC > Verwaltetes Gateway für Käufer - SAP Business Network SCC