SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance KB0406291

Erreur SAP PI/PO : "SSLException lors de l'échec de l'établissement de la liaison" lors de la connexion à SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Symptôme

Après l'activité de renforcement des suites de chiffrement TLS 1.2 de la passerelle gérée pour Spend&Network, tous mes messages sortants SAP Process Integration/Process Orchestration (PI/PO) envoyés à Ariba SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network (CIG) échouent avec l'erreur de connexion SSL ci-dessous :

SSLException lors de l'établissement de la liaison : alerte envoyée par un homologue : alerte fatale : échec de l'établissement de la liaison

Cause

1. Dans le cadre de la suite de chiffrement TLS 1.2, le renforcement de SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network rendra obsolètes les chiffrements ci-dessous pour SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network. Ils ont été supprimés pour ne pas prendre en charge Perfect Forward Secrecy (PFS) et ne seront plus proposés lors de l'établissement de la liaison TLS. Si l'un de vos clients externes utilise toujours l'une des suites de chiffrement obsolètes suivantes pour établir la liaison SSL, il ne pourra pas communiquer avec SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network. Par conséquent, les transactions échoueront avec des erreurs de liaison SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. Selon l'architecture du serveur client, le client présente une liste de chiffrements et le serveur sélectionne le chiffrement pris en charge et l'établissement d'une liaison SSL. Si votre client SAP PI n'envoie pas au moins l'un des chiffrements pris en charge par SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network lors de l'établissement de la liaison TLS avec SAP Integration Suite, passerelle gérée pour Spend Management et le serveur SAP Business Network, l'établissement de liaison SSL échoue.

Résolution

Assurez-vous que la bibliothèque Java IAIK de votre version SAP PI (SAP NetWeaver pour AS Java) prend en charge l'un des chiffrements ci-dessous (ECDHE ou DHE) pour établir une liaison SSL réussie avec les URL de l'hôte de la passerelle gérée pour Spend&Network. Selon le centre de données de la passerelle gérée pour la gestion des dépenses et SAP Business Network que vous connectez, cette URL sera modifiée.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Les chiffrements ECDHE ou DHE ci-dessus peuvent ne pas être activés par défaut dans chaque système SAP PI et dépendent de votre version SAP PI spécifique. Reportez-vous à KBA Comment vérifier la liste des suites chiffrées activées dans mon environnement d'exécution SAP PI AS Java ? pour les étapes de contrôle de la liste des chiffrements activés dans votre système SAP PI au moment de l'exécution.

Reportez-vous aux étapes ci-dessous pour obtenir des conseils de haut niveau afin de savoir comment activer les chiffrements ECHDE ou DHE dans votre système SAP PI :

Pour plus d'informations sur la prise en charge des chiffrements TLS_ECDHE répertoriés ci-dessus dans votre version SAP PI, voir ci-dessous :

1. Si seuls les chiffrements TLS_ECDHE doivent être utilisés dans votre SAP PI, les seules options décrites dans SAP KBA 2538934 - Handshake échouent dans PI lors de la connexion à un serveur qui prend uniquement en charge les chiffrements TLS_ECDHE.
2. Pour activer les chiffrements ECDHE, votre système SAP PI doit être dans une version dans laquelle la note SAP 2708581 - ECC Support for Outbound Connections in SAP NW AS Java peut être implémentée. Cette note est disponible uniquement pour NetWeaver AS Java version 7.50 Support Package 08 ou supérieure.
3. Si votre système SAP PI utilise une version inférieure à celle indiquée ci-dessus, par exemple : SAP PI 7.50 SP07, etc., il ne prend pas en charge les chiffrements ECDHE. Dans ce cas, veuillez ne pas activer ECDHE en utilisant SSLContext.properties ou vous allez causer des problèmes affectant toutes vos intégrations.
Si votre version SAP PI ne prend pas en charge les chiffrements ECDHE répertoriés, vous pouvez activer les chiffrements DHE qui font toujours partie de la liste prise en charge ci-dessus des points de terminaison SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network. Pour en savoir plus sur la prise en charge des chiffrements DHE dans votre version SAP PI, voir ci-dessous :

1. Pour activer les chiffrements DHE, vous pouvez suivre l'article de la base de connaissances SAP 2569156 - Comment créer, modifier et valider un fichier SSLContext.properties, applicable aux environnements SAP NetWeaver pour AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
2. Notez que si aucune entrée de suite chiffrée n'est présente dans le fichier SSLContext.properties, cela signifie que les valeurs par défaut sont utilisées répertoriées dans la note SAP 2284059 - Mise à jour de la bibliothèque SSL dans le serveur Java NW "Suites chiffrées prises en charge dans la configuration par défaut".
3. Si vous voulez utiliser une configuration de suite chiffrée autre que celle par défaut, consultez la section "Modifier la liste des suites de chiffrement prises en charge" de la note SAP 2284059 - Mise à jour de la bibliothèque SSL dans le serveur Java NW et KBA 2616983 - Comment personnaliser les suites de chiffrement dans le fichier SSLContext.properties avec le paramètre cipherSuite=<nom de la suite de chiffrement>.
4. Notez qu'une seule ligne de ce type désactive tous les chiffrements par défaut et qu'ils doivent être répertoriés explicitement si vous voulez toujours utiliser les chiffrements par défaut lorsque vous avez configuré ce paramètre.
SSLContext.properties est chargé par le système au lancement de votre AS Java. Par conséquent, toute modification de ce fichier nécessite un redémarrage du système pour rendre les modifications disponibles dans votre système. Par conséquent, une ou plusieurs des étapes ci-dessus peuvent nécessiter un redémarrage de SAP PI. Planifiez en conséquence.
Il n'existe aucune solution de contournement à l'une de ces étapes et vous devez vous assurer que votre SAP PI est compatible avec au moins l'un des chiffrements pris en charge répertoriés dans SAP Integration Suite, passerelle gérée pour la gestion des dépenses et le point de terminaison SAP Business Network pour effectuer correctement les transactions.

Voir aussi

Contactez vos équipes internes SAP PI Basis/Security pour en savoir plus sur la validation de la compatibilité de votre version SAP PI avec l'un des chiffrements pris en charge par SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network mentionnés ci-dessus, et implémentez les modifications qui correspondent à votre version PI en conséquence.
Si vos équipes SAP PI Basis/Security ont besoin d'explications supplémentaires sur la manière d'implémenter les modifications dans votre système SAP PI ou si vous avez des questions sur ce qui est pertinent pour votre scénario, même après la lecture ci-dessus, journalisez un incident SAP PI OSS sous la composante BC-JAS-SEC-CPG (SAP Netweaver AS Java) ou BC-XI-CON-AFW-SEC (Sécurité) car il s'agit d'une configuration de sécurité/base SAP PI pure. Les étapes de création d'un incident SAP OSS sont détaillées dans FAQ Comment créer un incident SAP OSS ?
Pour plus d'informations, voir les articles de la base de connaissances SAP :

1. SAP KBA Activer les stratégies illimitées JCE conformément à la norme 1240081 - Fichiers de stratégie de juridiction Java Cryptography Extension (JCE). 256 suites chiffrées sont uniquement disponibles avec cette option.
2. 2284059 - Mise à jour de la bibliothèque SSL dans le serveur Java NW
3. 2604240 - Échec de l'établissement de la liaison TLS en raison d'une extension SNI manquante

S'applique à

Passerelle gérée SAP Integration Suite > Passerelle gérée pour SAP Business Network
Passerelle gérée SAP Integration Suite > Passerelle gérée pour SAP Business Network SCC > Passerelle gérée pour SAP Business Network SCC acheteur
Passerelle gérée SAP Integration Suite > Passerelle gérée pour Sourcing - Intégration