Dopo l'attività di rafforzamento delle suite di cifratura delle suite di cifratura del gateway gestito per gestione della spesa e della spesa 1.2, tutti i messaggi in uscita di SAP Process Integration/Process Orchestration (PI/PO) inviati a Ariba SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network (CIG) non riescono con il seguente errore SSL handshake:

Eccezione SSL durante handshaking: avviso inviato da collega: allerta irreversibile: errore handshake

1. Nell'ambito della suite di cifratura TLS 1.2 che rafforza SAP Integration Suite, il gateway gestito per gestione della spesa e SAP Business Network renderà obsolete le seguenti crittografie per SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network. Sono stati rimossi per non supportare Perfect Forward Secrecy (PFS) e non saranno più offerti durante la stretta di mano TLS. Se uno dei clienti esterni utilizza ancora una delle seguenti suite di crittografia obsolete per stabilire l'handshake SSL, non sarà in grado di comunicare con SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network. Di conseguenza, le transazioni non riusciranno con errori di handshake SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. In base all'architettura client server, il client presenta un elenco di crittografie e il server seleziona la crittografia supportata e viene stabilito l'handshake SSL. Se il client SAP PI non invia almeno una delle crittografie supportate da SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network durante l'handshake TLS con SAP Integration Suite, gateway gestito per gestione della spesa e server SAP Business Network, si verifica un errore SSL handshake.

Assicurarsi che la libreria Java IAIK della propria versione SAP PI (SAP NetWeaver per AS Java) supporti una delle seguenti crittografie (ad esempio ECDHE o DHE) per stabilire un handshake SSL corretto con gli URL dell'host del gateway gestito per gestione della spesa e SAP Business Network. A seconda del centro dati del gateway gestito per gestione della spesa e SAP Business Network che si sta connettendo, questo URL cambierà.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Le crittografie ECDHE o DHE di cui sopra potrebbero non essere abilitate di default in ogni sistema SAP PI e dipendono dalla versione specifica di SAP PI. Fare riferimento a KBA How do Check the list of Cipher suites enabled in my SAP PI AS Java runtime? per le fasi di controllo della lista di crittografie attivate nel proprio sistema SAP PI durante il run-time.

Fare riferimento alla seguente procedura per una guida di alto livello su come attivare le crittografie ECHDE o DHE nel sistema SAP PI:

• Per informazioni sul supporto delle crittografie TLS_ECDHE sopra elencate nella versione SAP PI, fare riferimento a quanto segue:
  
  1. Se nel proprio SAP PI devono essere utilizzate solo crittografie TLS_ECDHE, le uniche opzioni sono quelle descritte in SAP KBA 2538934 - Handshake non riesce in PI quando ci si connette a un server che supporta solo crittografie TLS_ECDHE.
  2. Per attivare le crittografie ECDHE, il sistema SAP PI deve essere in una versione in cui è possibile implementare la nota SAP 2708581 - Supporto ECC per connessioni in uscita in SAP NW AS Java. Questa nota è disponibile solo per NetWeaver AS Java release 7.50 Support Package 08 o superiore.
  3. Se il proprio sistema SAP PI ha una versione inferiore a quella sopra indicata, ad es. SAP PI 7.50 SP07 e così via, non supporta le crittografie ECDHE. In questo caso, non abilitare ECDHE utilizzando SSLContext.properties o causerai problemi a tutte le integrazioni.
  
  
• Se la versione SAP PI dell'utente non supporta le crittografie ECDHE elencate, è possibile abilitare le crittografie DHE che fanno ancora parte dell'elenco supportato sopra di SAP Integration Suite, gateway gestito per gestione della spesa e endpoint SAP Business Network. Per informazioni sul supporto delle crittografie DHE nella propria versione SAP PI, fare riferimento a quanto segue:
  
  1. Per abilitare le crittografie DHE, è possibile seguire SAP KBA 2569156 - Come creare, modificare e validare il file SSLContext.properties, questo è applicabile a SAP NetWeaver per gli ambienti SAP PI AS Java 7.1X/7.2/7.3X/7.4/7.5.
  2. Tenere presente che se nel file SSLContext.properties non è presente alcun inserimento nella suite Cipher, ciò significa che quelli di default vengono utilizzati elencati nella nota SAP 2284059 - Aggiornamento della libreria SSL all'interno del server Java NW "Suite di crittografia supportate nella configurazione predefinita".
  3. Se si desidera utilizzare una configurazione della suite Cipher diversa da quella predefinita, vedere la parte "Modifica l'elenco delle suite di cifratura supportate" della nota SAP 2284059 - Aggiornamento della libreria SSL all'interno del server Java NW e del KBA 2616983 - Come personalizzare le suite di cifratura nel file SSLContext.properties con il parametro cipherSuite=<name of cipher suite>.
  4. Tenere presente che solo una di queste righe disattiva tutte le crittografie di default e queste devono essere elencate esplicitamente se si intende comunque utilizzare le crittografie di default quando è stato configurato questo parametro.
  
  
• SSLContext.properties viene caricato dal sistema all'avvio di AS Java, pertanto qualsiasi modifica in questo file richiede un riavvio del sistema per rendere disponibili le modifiche nel proprio sistema. Pertanto, una o più delle fasi precedenti potrebbe richiedere il riavvio di SAP PI, pertanto pianificare di conseguenza.
  
  
• Non esiste alcuna soluzione alternativa a nessuna di queste fasi ed è necessario assicurarsi che SAP PI sia compatibile con almeno una delle crittografie supportate elencate in SAP Integration Suite, gateway gestito per gestione della spesa e l'endpoint SAP Business Network per effettuare correttamente le transazioni.

• Contattare i team interni SAP PI Basis/Security per ulteriori dettagli sulla convalida della compatibilità della propria versione SAP PI con una delle crittografie supportate da SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network sopra elencate e implementare di conseguenza le modifiche che si adattano alla propria versione PI.
  
  
• Se i team SAP PI Basis/Security necessitano di ulteriori spiegazioni su come implementare le modifiche nel sistema SAP PI o hanno domande su ciò che è rilevante per il proprio scenario anche dopo la lettura sopra, registrare un incidente SAP PI OSS nel componente BC-JAS-SEC-CPG (SAP Netweaver AS Java) o BC-XI-CON-AFW-SEC (Security) poiché si tratta di una pura configurazione SAP PI base/sicurezza. Le fasi per la creazione di un'anomalia SAP OSS sono descritte in dettaglio nelle FAQ Come creare un'anomalia SAP OSS?
  
  
• Per ulteriori informazioni, fare riferimento ai seguenti KBA SAP:
  
  1. SAP KBA Enable JCE Unlimited Policies in base a 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. Le suite di crittografia 256 sono disponibili solo con questa opzione.
  2. 2284059 - Aggiornamento della libreria SSL nel server Java NW
  3. 2604240 - Errore handshake TLS a causa di estensione SNI mancante

SAP Integration Suite, gateway gestito > Gateway gestito per Business Network
SAP Integration Suite, gateway gestito > Gateway gestito per Business Network Supply Chain Collaboration > Gateway gestito per Business Network Supply Chain Collaboration per compratori
SAP Integration Suite, gateway gestito > Gateway gestito per integrazione Sourcing