SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート KB0406291

支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイへの接続時の SAP PI/PO エラー: "ハンドシェイク中の SSLException: ハンドシェイクエラー: ハンドシェイクエラー"

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

症症状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状状

支出および Network 向け管理ゲートウェイ TLS 1.2 暗号スイート強化アクティビティの後、支出管理および SAP Business Network (CIG) 向け Ariba SAP Integration Suite 管理ゲートウェイに送信されたすべての SAP Process Integration/Process Orchestration (PI/PO) 送信メッセージが、以下の SSL ハンドシェイクエラーで失敗します。

SSLException while handshaking: Peer sent alert: Alert Fatal: ハンドシェイクに失敗しました

コスト

1.TLS 1.2 暗号スイートの一部として、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイの強化により、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイの以下の暗号が廃止されます。これらは、Perfect Forward Secrecy (PFS) をサポートしないため削除されており、TLS ハンドシェイク時に提供されなくなります。いずれかの外部クライアントで、以下の非推奨の暗号スイートのいずれかを依然として使用して SSL ハンドシェイクを確立すると、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイと通信できなくなります。その結果、トランザクションは SSL ハンドシェイクエラーで失敗します。

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2.クライアントサーバアーキテクチャに従って、クライアントは暗号のリストを提示し、サーバはサポートされている暗号を選択し、SSL ハンドシェイクが確立されます。SAP PI クライアントが支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイの少なくとも 1 つを送信していない場合、支出管理および SAP Business Network サーバ向け SAP Integration Suite 管理ゲートウェイとの TLS ハンドシェイク時にサポートされている暗号は、SSL ハンドシェイクエラーが発生します。

解放

支出および Network 向け管理ゲートウェイホスト URL との SSL ハンドシェイクを正常に確立するには、SAP PI バージョン (AS Java 向け SAP NetWeaver) の IAIK Java ライブラリで以下の暗号 (ECDHE または DHE) のいずれかがサポートされていることを確認してください。接続している支出および Network 向け管理ゲートウェイのデータセンターに応じて、この URL は変更されます。

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

上述の ECDHE または DHE 暗号は、すべての SAP PI システムでデフォルトでは有効化されておらず、特定の SAP PI バージョンに依存している可能性があります。KBA SAP PI AS Java ランタイムで有効化されている暗号スイートの一覧を確認する方法を教えてください。を参照してください。SAP PI システムで有効化された暗号の一覧を実行時にチェックするためのステップ。

SAP PI システムで ECHDE 暗号または DHE 暗号を有効化する方法については、以下の手順を参照してください。

ご使用の SAP PI バージョンにおける上述の TLS_ECDHE 暗号のサポートについては、以下を参照してください。

1.SAP PI で TLS_ECDHE 暗号のみを使用する場合は、SAP KBA 2538934 "TLS_ECDHE 暗号のみをサポートするサーバへの接続時に PI でハンドシェイクが失敗するに記載されているオプションのみを使用することができます。
2.ECDHE 暗号を有効化するには、SAP PI システムが、SAP ノート 2708581 - SAP NW AS Java での送信接続の ECC サポートを実装できるバージョンである必要があります。当 SAP ノートは、NetWeaver AS Java リリース 7.50 サポートパッケージ 08 以降でのみ提供されています。
3.SAP PI システムが上記より下位のバージョンである場合 (例:SAP PI 7.50 SP07 などでは、ECDHE 暗号はサポートされていません。この場合、SSLContext.properties を使用して ECDHE を有効化しないでください。有効化すると、すべての統合に影響する問題が発生します。
SAP PI バージョンで、記載されている ECDHE 暗号がサポートされていない場合は、支出管理および SAP Business Network エンドポイント向け SAP Integration Suite 管理ゲートウェイの上記のサポート対象一覧にまだ含まれている DHE 暗号を有効化することができます。SAP PI バージョンでの DHE 暗号のサポートの詳細については、以下を参照してください。

1DHE 暗号を有効化するには、SAP KBA 2569156 - How to create, modify and validate SSLContext.properties file に従うことができます。これは、SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI 環境に適用されます。
2.SSLContext.properties ファイルに暗号スイートエントリが存在しない場合は、SAP ノート 2284059 - NW Java サーバ内の SSL ライブラリの更新 "デフォルト設定でサポートされている暗号スイート" の部分に記載されているデフォルトエントリが使用されることを意味します。
3.デフォルト以外の暗号スイート設定を使用する場合は、SAP ノート 2284059 "NW Java サーバ内の SSL ライブラリの更新" の "サポートされている暗号スイートの一覧の変更" の部分および KBA 2616983 "SSLContext.properties ファイルでパラメータ cipherSuite=<暗号スイートの名称> を使用して暗号スイートをカスタマイズする方法" を参照してください。
4.このような行の 1 行のみですべてのデフォルト暗号が無効化されることに注意してください。このパラメータの設定時にデフォルトの暗号を引き続き使用する場合は、それらの暗号を明示的に一覧表示する必要があります。
SSLContext.properties は AS Java の起動時にシステムによってロードされるため、このファイルで変更を加えるには、システムで変更を使用可能にするためにシステムの再起動が必要です。そのため、上記のステップの 1 つまたは複数に SAP PI の再起動が必要な場合があるため、適宜計画してください。
これらの手順に対する回避策はありません。取引を正常に行うには、SAP PI が支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイエンドポイントに一覧表示されているサポートされている暗号の少なくとも 1 つと互換性があることを確認する必要があります。

<サーバ>

ご使用の SAP PI バージョンが上述の支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイのいずれかと互換性があるかどうかのチェックの詳細については、内部 SAP PI ベーシス/セキュリティチームに連絡し、PI バージョンに適した変更を適宜適用してください。
ご使用の SAP PI ベーシス/セキュリティチームが、ご使用の SAP PI システムに変更を実装する方法についての詳しい説明が必要な場合、または上述の内容を読んだ後でも、ご使用のシナリオに関連する問題がある場合は、コンポーネント BC-JAS-SEC-CPG (SAP Netweaver AS Java) または BC-XI-CON-AFW-SEC (セキュリティ) で SAP PI OSS インシデントを記録してください。これは、純粋な SAP PI ベーシス/セキュリティ設定であるためです。SAP OSS インシデントの登録方法に関するステップの詳細については、FAQ SAP OSS インシデントを登録する方法を教えてください。
詳細については、以下の SAP KBA を参照してください。

1.SAP KBA 1240081 に従った JCE 無制限ポリシーの有効化 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suites は、このオプションでのみ利用可能です。
2. 2284059 - NW Java サーバ内の SSL ライブラリの更新
3. 2604240 - SNI 拡張がないことによる TLS ハンドシェイクの失敗

該当項目

SAP Integration Suite 管理ゲートウェイ > Business Network 向け管理ゲートウェイ
SAP Integration Suite 管理ゲートウェイ > Business Network 向け管理ゲートウェイ - SCC > Buyer Business Network 向け管理ゲートウェイ - SCC
SAP Integration Suite 管理ゲートウェイ > Sourcing 向け管理ゲートウェイ - 統合