SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート KB0406291

支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイへの接続時の SAP PI/PO エラー: "ハンドシェイク中の SSLException:ハンドシェイクエラー"

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

症あてに

支出および Network 向け管理ゲートウェイ TLS 1.2 暗号スイートの強化アクティビティ後に、支出管理および SAP Business Network 向け Ariba SAP Integration Suite 管理ゲートウェイ (CIG) に送信されるすべての SAP Process Integration/Process Orchestration (PI/PO) 送信メッセージが以下の SSL ハンドシェイクエラーで失敗します。

ハンドシェイク中の SSLException: ピア送信アラート: アラート重大: ハンドシェイクエラー

原氏

1.TLS 1.2暗号スイートの強化の一環として、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイでは、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイの以下の暗号が廃止されます。これらは Perfect Forward Secrecy (PFS) をサポートしないために削除され、TLS ハンドシェイク時には提供されなくなります。外部クライアントのいずれかが引き続き以下の非推奨の暗号スイートのいずれかを使用して SSL ハンドシェイクを確立すると、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイと通信できなくなります。その結果、トランザクションは SSL ハンドシェイクエラーで失敗します。

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2.クライアントサーバアーキテクチャに従って、クライアントは暗号のリストを提示し、サーバはサポートされている暗号を選択し、SSL ハンドシェイクが確立されます。支出管理および SAP Business Network サーバー向け SAP Integration Suite 管理ゲートウェイとの TLS ハンドシェイク時に、SAP PI クライアントが支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイの少なくとも 1 つを送信していない場合、SSL ハンドシェイクエラーが発生します。

解決

支出および Network 向け管理ゲートウェイホスト URL との SSL ハンドシェイクを正常に確立するために、SAP PI バージョン (SAP NetWeaver for AS Java) の IAIK Java ライブラリで、以下のいずれかの暗号 (ECDHE または DHE) がサポートされていることを確認してください。接続している支出および Network 向け管理ゲートウェイのデータセンターに応じて、この URL が変更されます。

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

上記の ECDHE または DHE 暗号は、すべての SAP PI システムでデフォルトで有効化されるわけではなく、特定の SAP PI バージョンによって異なります。KBA SAP PI AS Java ランタイムで有効化されている暗号スイートの一覧を確認する方法を教えてください。を参照してください。SAP PI システムで有効化されている暗号の一覧を実行時にチェックするステップ用。

高レベルのガイダンスについては、以下のステップを参照して、SAP PI システムで ECHDE または DHE 暗号を有効化する方法を確認してください。

ご使用の SAP PI バージョンにおける上述の TLS_ECDHE 暗号のサポートについては、以下を参照してください。

1.SAP PI で TLS_ECDHE 暗号のみを使用する場合、TLS_ECDHE 暗号のみをサポートするサーバへの接続時に SAP KBA 2538934 - Handshake is failing in PI に記載されているオプションのみが失敗します。
2ECDHE 暗号を有効化するには、SAP PI システムが SAP ノート 2708581 - SAP NW AS Java での送信接続の ECC サポートを実装できるバージョンである必要があります。当 SAP ノートは、NetWeaver AS Java リリース 7.50 サポートパッケージ 08 以降でのみ提供されています。
3SAP PI システムが上記よりも下位のバージョンである場合 (例:SAP PI 7.50 SP07 などでは、ECDHE 暗号はサポートされません。この場合、SSLContext.properties を使用して ECDHE を有効化しないでください。有効化すると、すべての統合に問題が発生します。
SAP PI バージョンで一覧表示された ECDHE 暗号がサポートされていない場合は、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイエンドポイントのサポートされている上記の一覧に引き続き含まれている DHE 暗号を有効化することができます。SAP PI バージョンでの DHE 暗号のサポートの詳細については、以下を参照してください。

1DHE 暗号を有効化するには、SAP KBA 2569156 - How to create, modify and validate SSLContext.properties file を参照してください。これは、SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI environments. に適用されます。
2.SSLContext.properties ファイルに暗号スイートエントリが存在しない場合は、SAP ノート 2284059 - NW Java サーバ内の SSL ライブラリの更新 "デフォルト設定でサポートされている暗号スイート" の部分に記載されているデフォルトのエントリが使用されていることを意味します。
3デフォルト以外の暗号スイート設定を使用する場合は、SAP ノート 2284059 "NW Java サーバでの SSL ライブラリの更新" のセクション "サポートされる暗号スイートの一覧の変更" および KBA 2616983 "パラメータ cipherSuite=<暗号スイートの名称> を使用して SSLContext.properties ファイルで暗号スイートをカスタマイズする方法" を参照してください。
4このような行を 1 行だけにすると、すべてのデフォルト暗号が無効化され、このパラメータの設定時にデフォルト暗号を引き続き使用する場合は、これらの暗号を明示的に一覧表示する必要があることに注意してください。
AS Java の起動時に SSLContext.properties がシステムによってロードされるため、このファイルの変更を行うには、システムで変更を使用可能にするためにシステムの再起動が必要です。そのため、上記のステップの 1 つまたは複数で SAP PI の再起動が必要となる場合があるため、適宜計画してください。
これらのステップに対する回避策はなく、取引を成功させるには、SAP PI が、支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイエンドポイントに一覧表示されているサポートされている暗号の少なくとも 1 つと互換性があることを確認する必要があります。

サーバにアクセスします。

SAP PI バージョンが上記の支出管理および SAP Business Network 向け SAP Integration Suite 管理ゲートウェイでサポートされている暗号のいずれかと互換性があるかどうかを確認するための詳細については、社内の SAP PI Basis/セキュリティチームに連絡し、PI バージョンに適した変更を適宜実装してください。
ご使用の SAP PI ベーシス/セキュリティチームが、ご使用の SAP PI システムに変更を適用する方法についてさらに説明する必要があるか、または上述の内容を参照した後でも、シナリオに関連する内容について質問がある場合は、コンポーネント BC-JAS-SEC-CPG (SAP NetWeaver AS Java) または BC-XI-CON-AFW-SEC (セキュリティ) で SAP PI OSS インシデントを記録してください。これは、純粋な SAP PI ベーシス/セキュリティ設定であるためです。SAP OSS インシデントの登録方法に関するステップの詳細については、FAQ SAP OSS インシデントを登録する方法を教えてください。
詳細については、以下の SAP KBA を参照してください。

1.SAP KBA Enable JCE Unlimited Policies as as 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suites は、このオプションでのみ使用可能です。
2. 2284059 - NW Java サーバ内の SSL ライブラリの更新
3. 2604240 - SNI 拡張がないことによる TLS ハンドシェイクの失敗

該当項目

SAP Integration Suite 管理ゲートウェイ > Business Network 向け管理ゲートウェイ
SAP Integration Suite 管理ゲートウェイ > Business Network 向け管理ゲートウェイ - SCC > Buyer Business Network 向け管理ゲートウェイ - SCC
SAP Integration Suite 管理ゲートウェイ > Sourcing 向け管理ゲートウェイ - 統合