Dopo l'attività di tempra delle suite di cifratura TLS 1.2 del gateway gestito per gestione della spesa e SAP Business Network, tutti i messaggi in uscita di SAP Process Integration/Process Orchestration (PI/PO) inviati ad Ariba SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network (CIG) non riescono con il seguente errore di handshake SSL:

SSLException durante handshaking: avviso inviato dal peer: allerta irreversibile: errore handshake

1. Come parte della suite di cifratura TLS 1.2, l'indurimento di SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network renderà obsolete le seguenti crittografie per SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network. Sono stati rimossi per non supportare Perfect Forward Secrecy (PFS) e non saranno più offerti durante la stretta di mano TLS. Se uno qualsiasi dei clienti esterni utilizza ancora una delle seguenti suite di cifratura obsolete per stabilire l'handshake SSL, non sarà in grado di comunicare con SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network. Di conseguenza, le transazioni non riusciranno con errori handshake SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. In base all'architettura del server client, il client presenta un elenco di crittografie e il server seleziona la crittografia supportata e viene stabilito l'handshake SSL. Se il client SAP PI non invia almeno una delle crittografie supportate da SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network durante l'handshake TLS con SAP Integration Suite, gateway gestito per gestione della spesa e server SAP Business Network, si verifica un errore di handshake SSL.

Assicurarsi che la libreria Java IAIK della propria versione SAP PI (SAP NetWeaver per AS Java) supporti una qualsiasi delle seguenti crittografie (ad esempio ECDHE o DHE) per stabilire un handshake SSL corretto con gli URL host del gateway gestito per gestione della spesa e SAP Business Network. A seconda del centro dati del gateway gestito per gestione della spesa e SAP Business Network che si sta connettendo, questo URL cambierà.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Le crittografie ECDHE o DHE di cui sopra potrebbero non essere abilitate per impostazione predefinita in ogni sistema SAP PI e dipendono dalla versione SAP PI specifica. Fare riferimento a KBA Come si controlla la lista di suite di crittografia abilitate nel run-time SAP PI AS Java? per le fasi di controllo della lista di crittografie attivate nel proprio sistema SAP PI durante il run-time.

Fare riferimento alla seguente procedura per una guida di alto livello per sapere come abilitare le crittografie ECHDE o DHE nel sistema SAP PI:

• Per informazioni sul supporto delle crittografie TLS_ECDHE sopra elencate nella versione SAP PI, fare riferimento a quanto segue:
  
  1. Se nel proprio SAP PI devono essere utilizzate solo crittografie TLS_ECDHE, le uniche opzioni sono quelle descritte in SAP KBA 2538934 - Handshake non riesce in PI quando ci si connette a un server che supporta solo le crittografie TLS_ECDHE.
  2. Per abilitare la crittografia ECDHE, il sistema SAP PI deve essere in una versione in cui è possibile implementare la nota SAP 2708581 - ECC Support for Outbound Connections in SAP NW AS Java. Questa nota è disponibile solo per NetWeaver AS Java release 7.50 Support Package 08 o successiva.
  3. Se il sistema SAP PI è in una versione precedente a quella indicata sopra, ad es. SAP PI 7.50 SP07 e così via, non supporta le crittografie ECDHE. In questo caso, non abilitare ECDHE utilizzando SSLContext.properties o si causeranno problemi che interessano tutte le integrazioni.
  
  
• Se la versione SAP PI non supporta le crittografie ECDHE elencate, è possibile abilitare le crittografie DHE che fanno ancora parte dell'elenco supportato sopra di SAP Integration Suite, gateway gestito per gestione della spesa e dell'endpoint SAP Business Network. Per informazioni sul supporto delle crittografie DHE nella propria versione SAP PI, fare riferimento a quanto segue:
  
  1. Per attivare le crittografie DHE, è possibile seguire SAP KBA 2569156 - Come creare, modificare e validare il file SSLContext.properties, questo è applicabile a SAP NetWeaver per AS Java 7.1X/7.2/7.3X/7.4/7.5 ambienti SAP PI.
  2. Tenere presente che se non è presente alcun inserimento suite di crittografia nel file SSLContext.properties, significa che vengono utilizzati quelli predefiniti elencati nella nota SAP 2284059 - Aggiornamento della libreria SSL all'interno del server NW Java "Suite di crittografia supportate nella configurazione predefinita".
  3. Se si desidera utilizzare una configurazione della suite di crittografia diversa da quella predefinita, vedere la parte "Modifica l'elenco delle suite di cifratura supportate" della nota SAP 2284059 - Aggiornamento della libreria SSL all'interno del server NW Java e KBA 2616983 - Come personalizzare le suite di cifratura nel file SSLContext.properties con il parametro cipherSuite=<nome della suite di cifratura>.
  4. Tenere presente che solo una di queste righe disattiva tutte le crittografie predefinite e queste devono essere elencate esplicitamente se si desidera comunque utilizzare le crittografie predefinite quando è stato configurato questo parametro.
  
  
• SSLContext.properties viene caricato dal sistema all'avvio dell'AS Java, pertanto qualsiasi modifica in questo file richiede un riavvio del sistema per rendere disponibili le modifiche nel sistema. Pertanto, una o più delle fasi precedenti potrebbero richiedere il riavvio di SAP PI, pertanto pianificare di conseguenza.
  
  
• Non esiste alcuna soluzione alternativa a nessuna di queste fasi ed è necessario assicurarsi che SAP PI sia compatibile con almeno una delle crittografie supportate elencate in SAP Integration Suite, gateway gestito per gestione della spesa e endpoint SAP Business Network per eseguire correttamente le transazioni.

• Contattare i team interni di base/sicurezza SAP PI per ulteriori dettagli sulla convalida della compatibilità della versione SAP PI con una qualsiasi delle crittografie supportate da SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network elencate sopra e implementare di conseguenza le modifiche conformi alla versione PI.
  
  
• Se i team SAP PI Basis/sicurezza necessitano di ulteriori spiegazioni su come implementare le modifiche nel proprio sistema SAP PI o hanno domande su ciò che è rilevante per il proprio scenario anche dopo la lettura di cui sopra, registrare un incidente SAP PI OSS nel componente BC-JAS-SEC-CPG (SAP Netweaver AS Java) o BC-XI-CON-AFW-SEC (Sicurezza) poiché si tratta di una pura configurazione di sicurezza/base SAP PI. Le fasi su come creare un'anomalia SAP OSS sono descritte in dettaglio nella FAQ Come creare un'anomalia SAP OSS?
  
  
• Per ulteriori informazioni, fare riferimento ai seguenti KBA SAP:
  
  1. SAP KBA Enable JCE Unlimited Policies come da 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 suite di crittografia sono disponibili solo con questa opzione.
  2. 2284059 - Aggiornamento della libreria SSL all'interno del server Java NW
  3. 2604240 - Errore di handshake TLS a causa dell'estensione SNI mancante

SAP Integration Suite, gateway gestito > Gateway gestito per Business Network
SAP Integration Suite, gateway gestito > Gateway gestito per Business Network Supply Chain Collaboration > Gateway gestito per Business Network Supply Chain Collaboration per compratori
SAP Integration Suite, gateway gestito > Gateway gestito per integrazione Sourcing