SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance KB0406291

Erreur SAP PI/PO : "Exception SSL lors de l'établissement de la liaison : échec de la liaison" lors de la connexion à SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Symptôme

Après l'activité de renforcement des suites de chiffrement TLS 1.2 de Passerelle gérée pour Spend&Network, tous mes messages sortants SAP Process Integration/Process Orchestration (PI/PO) envoyés à Ariba SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network (CIG) échouent avec l'erreur d'établissement de liaison SSL ci-dessous :

Exception SSL lors de l'établissement de la liaison : le collègue a envoyé une alerte : Alerte fatale : échec de l'établissement de la liaison

Cause

1. Dans le cadre de la suite de chiffrement TLS 1.2 qui renforce SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network rendra obsolètes les chiffrements ci-dessous pour SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network. Elles ont été supprimées pour ne pas prendre en charge le secret parfait en avant (PFS) et ne seront plus proposées lors de l'établissement de la liaison TLS. Si l'un de vos clients externes utilise toujours l'une des suites de chiffrement obsolètes suivantes pour établir l'établissement de la liaison SSL, ne pourra pas communiquer avec SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network. Par conséquent, les transactions échoueront avec des erreurs d'établissement de liaison SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. Selon l'architecture du serveur client, le client présente une liste de chiffrements et le serveur sélectionne le chiffrement pris en charge et l'établissement de la liaison SSL est établi. Si votre client SAP PI n'envoie pas au moins l'un des chiffrements pris en charge par SAP Integration Suite, passerelle gérée pour Spend Management et SAP Business Network lors de l'établissement de la liaison TLS avec SAP Integration Suite, passerelle gérée pour Spend Management et le serveur SAP Business Network, un échec d'établissement de liaison SSL se produit.

Résolution

Assurez-vous que la bibliothèque Java IAIK de votre version SAP PI (SAP NetWeaver pour AS Java) prend en charge l'un des chiffrements ci-dessous (ECDHE ou DHE) pour établir l'établissement de liaison SSL avec les URL hôte de la passerelle gérée pour Spend&Network. Selon le centre de données de la passerelle gérée pour la gestion des dépenses et SAP Business Network auquel vous vous connectez, cette URL sera modifiée.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Les chiffrements ECDHE ou DHE ci-dessus peuvent ne pas être activés par défaut dans chaque système SAP PI et dépendent de votre version SAP PI spécifique. Consultez KBA Comment vérifier la liste des suites chiffrées activées dans mon environnement d'exécution SAP PI AS Java ? pour les étapes de contrôle de la liste des chiffrements activés dans votre système SAP PI au moment de l'exécution.

Reportez-vous aux étapes ci-dessous pour obtenir des conseils de haut niveau sur l'activation des chiffrements ECHDE ou DHE dans votre système SAP PI :

Pour plus d'informations sur la prise en charge des chiffrements TLS_ECDHE répertoriés ci-dessus dans votre version SAP PI, voir ci-dessous :

1. Si seuls les chiffrements TLS_ECDHE doivent être utilisés dans votre SAP PI, les seules options sont celles décrites dans SAP KBA 2538934 - Handshake échoue dans PI lors de la connexion à un serveur qui prend uniquement en charge les chiffrements TLS_ECDHE.
2. Pour activer les chiffrements ECDHE, votre système SAP PI doit être dans une version où la note SAP 2708581 - ECC Support for Outbound Connections in SAP NW AS Java peut être implémentée. Cette note est disponible uniquement pour NetWeaver AS Java version 7.50 Support Package 08 ou supérieure.
3. Si votre système SAP PI est sur une version inférieure à celle indiquée ci-dessus, par exemple SAP PI 7.50 SP07, etc., il ne prend pas en charge les chiffrements ECDHE. Dans ce cas, n'activez pas ECDHE à l'aide de SSLContext.properties ou vous provoquerez des problèmes affectant toutes vos intégrations.
Si votre version SAP PI ne prend pas en charge les chiffrements ECDHE répertoriés, vous pouvez activer les chiffrements ECDHE qui font toujours partie de la liste prise en charge ci-dessus de SAP Integration Suite, passerelle gérée pour Spend Management et point de terminaison SAP Business Network. Pour plus d'informations sur la prise en charge des chiffrements DHE dans votre version SAP PI, voir ci-dessous :

1. Pour activer les chiffrements DHE, vous pouvez suivre SAP KBA 2569156 - Comment créer, modifier et valider le fichier SSLContext.properties, cela s'applique aux environnements SAP NetWeaver pour AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
2. Notez que si aucune entrée de suite chiffrée n'est présente dans le fichier SSLContext.properties, cela signifie que les suites chiffrées par défaut sont utilisées, répertoriées dans la note SAP 2284059 - Update of SSL library in NW Java server "Chiffrer suites prises en charge dans la partie de configuration par défaut".
3. Si vous voulez utiliser une configuration de suite chiffrée autre que celle par défaut, voir la partie "Modifier la liste des suites de chiffrement prises en charge" de la note SAP 2284059 - Mise à jour de la bibliothèque SSL dans le serveur Java NW et KBA 2616983 - Comment personnaliser les suites de chiffrement dans le fichier SSLContext.properties avec le paramètre cipherSuite=<nom de la suite de chiffrement>.
4. Notez qu'une seule de ces lignes désactive tous les chiffrements par défaut et qu'ils doivent être répertoriés explicitement si vous voulez toujours utiliser les chiffrements par défaut lorsque vous avez configuré ce paramètre.
SSLContext.properties est chargé par le système au démarrage de votre AS Java. Toute modification apportée à ce fichier nécessite donc un redémarrage du système pour rendre les modifications disponibles dans votre système. Par conséquent, une ou plusieurs des étapes ci-dessus peuvent nécessiter un redémarrage de SAP PI. Veuillez donc effectuer la planification en conséquence.
Il n'existe aucune solution de contournement pour ces étapes et vous devez vous assurer que votre SAP PI est compatible avec au moins l'un des chiffrements pris en charge répertoriés dans SAP Integration Suite, passerelle gérée pour la gestion des dépenses et le point de terminaison SAP Business Network pour effectuer des transactions.

Voir également

Contactez vos équipes SAP PI Basis/Security internes pour plus de détails sur la validation de la compatibilité de votre version SAP PI avec l'un des chiffrements pris en charge par SAP Integration Suite, passerelle gérée pour la gestion des dépenses et SAP Business Network répertoriés ci-dessus, et implémentez les modifications qui correspondent à votre version PI en conséquence.
Si vos équipes SAP PI Basis/Security ont besoin d'explications supplémentaires sur la manière d'implémenter les modifications dans votre système SAP PI ou si vous avez des questions sur ce qui est pertinent pour votre scénario même après avoir lu ci-dessus, journalisez un incident SAP PI OSS sous la composante BC-JAS-SEC-CPG (SAP Netweaver AS Java) ou BC-XI-CON-AFW-SEC (Sécurité) car il s'agit d'une configuration de base/sécurité SAP PI pure. Les étapes de création d'un incident SAP OSS sont détaillées dans la FAQ Comment créer un incident SAP OSS ?
Pour en savoir plus, voir les articles de la base de connaissances SAP ci-dessous :

1. SAP KBA Enable JCE Unlimited Policies selon 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 suites chiffrées sont disponibles uniquement avec cette option.
2. 2284059 - Mise à jour de la bibliothèque SSL dans le serveur Java NW
3. 2604240 - Échec de l'établissement de la liaison TLS en raison de l'absence d'extension SNI

S'applique à

Passerelle gérée SAP Integration Suite > Passerelle gérée pour SAP Business Network
Passerelle gérée SAP Integration Suite > Passerelle gérée pour SAP Business Network SCC > Passerelle gérée pour SAP Business Network SCC acheteur
Passerelle gérée SAP Integration Suite > Passerelle gérée pour Sourcing - Intégration