SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	한국어 - 기계 번역	
Deutsch - 기계 번역 English Español - 기계 번역 Français (France) - 기계 번역 Italiano - 기계 번역 日本語 - 기계 번역 Português (Brasil) - 기계 번역 Русский - 기계 번역 简体中文 - 기계 번역

지원 참고 사항 KB0406291

SAP PI/PO 오류: 비용 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이에 연결할 때 "핸드셰이크:핸드셰이크 실패 중 SSLException" 발생

이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.

증상

비용 및 네트워크를 위한 관리 게이트웨이 TLS 1.2 암호화 스위트 강화 활동 후 지출 관리 및 SAP Business Network(CIG)를 위한 관리 게이트웨이인 Ariba SAP Integration Suite로 전송된 내 모든 SAP Process Integration/Process Orchestration(PI/PO) 아웃바운드 메시지가 아래 SSL 핸드셰이크 오류로 인해 실패했습니다.

핸드셰이킹 중 SSLException 발생: 피어 발신 경고: 경고 심각: 핸드셰이크 실패

원인

1. TLS 1.2 암호화 스위트의 일환으로 SAP Integration Suite를 경화하며, 비용 관리 및 SAP Business Network를 위한 관리 게이트웨이는 비용 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이에 대한 아래 암호를 더 이상 사용하지 않습니다. PFS(Perfect Forward Secrecy)를 지원하지 않도록 제거되었으며 TLS 핸드셰이크 중에는 더 이상 제공되지 않습니다. 외부 클라이언트 중 SSL 핸드셰이크를 설정하기 위해 더 이상 사용되지 않는 다음 암호화 스위트를 계속 사용하는 경우 지출 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이와 통신할 수 없습니다. 따라서 SSL 핸드셰이크 오류로 인해 트랜잭션이 실패합니다.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. 클라이언트 서버 아키텍처에 따라 클라이언트가 암호 리스트를 표시하고 서버에서 지원되는 암호를 선택하고 SSL 핸드셰이크가 설정됩니다. SAP PI 클라이언트가 비용 관리 및 SAP Business Network 서버를 위한 관리 게이트웨이인 SAP Integration Suite와 TLS 핸드셰이크 중에 지출 관리 및 SAP Business Network를 위한 관리 게이트웨이 중 하나 이상을 전송하지 않는 경우 SSL 핸드셰이크 실패가 발생합니다.

해결

비용 및 네트워크를 위한 관리 게이트웨이와 성공적인 SSL 핸드셰이크를 설정하려면 SAP PI 버전(SAP NetWeaver for AS Java)의 IAIK Java 라이브러리가 아래 암호(즉, ECDHE 또는 DHE)를 지원하는지 확인하십시오. 연결 중인 비용 및 네트워크를 위한 관리 게이트웨이 데이터 센터에 따라 이 URL이 변경됩니다.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

위의 ECDHE 또는 DHE 암호는 모든 SAP PI 시스템에서 기본적으로 활성화되지 않을 수 있으며 특정 SAP PI 버전에 따라 다를 수 있습니다. KBA SAP PI AS Java 런타임에서 활성화된 암호 그룹 리스트를 확인하려면 어떻게 해야 합니까? 런타임 시 SAP PI 시스템에서 활성화된 암호 리스트를 확인하는 단계

SAP PI 시스템에서 ECHDE 또는 DHE 암호를 활성화하는 방법을 알아보려면 아래 단계를 참조하십시오.

SAP PI 버전에서 위에 나열된 TLS_ECDHE 암호의 지원에 관한 자세한 내용은 아래를 참조하십시오.

1. SAP PI에서 TLS_ECDHE 암호만 사용하는 경우, TLS_ECDHE 암호만 지원하는 서버에 연결할 때 SAP KBA 2538934 - Handshake가 PI에서 실패함에 설명된 옵션만 있습니다.
2 ECDHE 암호를 활성화하려면 SAP PI 시스템의 버전이 있어야 합니다. SAP Note 2708581 - ECC Support for Outbound Connections in SAP NW AS Java를 구현할 수 있습니다. 이 노트는 NetWeaver AS Java 릴리스 7.50 지원 패키지 08 이상에서만 사용할 수 있습니다.
3 SAP PI 시스템이 위에 명시된 버전보다 더 낮은 버전인 경우(예 :) SAP PI 7.50 SP07 등은 ECDHE 암호를 지원하지 않습니다. 이 경우 SSLContext.properties을 사용하여 ECDHE를 활성화하지 마십시오. 그렇지 않으면 모든 통합에 영향을 주는 문제가 발생할 수 있습니다.
SAP PI 버전에서 나열된 ECDHE 암호를 지원하지 않는 경우 지출 관리 및 SAP Business Network 엔드포인트를 위한 SAP Integration Suite, 관리 게이트웨이 목록에 여전히 포함된 DHE 암호를 활성화할 수 있습니다. SAP PI 버전에서의 DHE 암호 지원에 관한 자세한 내용은 아래를 참조하십시오.

1 DHE 암호를 활성화하려면 SAP KBA 2569156 - SSLContext.properties 파일을 생성, 수정 및 확인하는 방법, AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI 환경용 SAP NetWeaver에 적용할 수 있습니다.
2. SSLContext.properties 파일에 암호 그룹 항목이 없으면 SAP Note 2284059 - Update of SSL library within NW Java server "Cipher suites supported in the default configuration" 부분에 기본 항목이 사용된다는 것을 의미합니다.
3 기본값이 아닌 다른 암호 그룹 구성을 사용하려면 SAP Note 2284059 - Update of SSL library within NW Java server and the KBA 2616983 - How to customize cipher suites in SSLContext.properties file with parameter cipherSuite=<name of cipher suite>의 "Modify the list of supported cipher suites" 부분을 참조하십시오.
4 이러한 한 라인만 모든 기본 암호를 비활성화하며 이 매개 변수를 구성할 때 기본 암호를 계속 사용하려면 해당 줄을 명시적으로 나열해야 합니다.
SSLContext.properties은(는) AS Java가 시작될 때 시스템에 의해 로드되므로, 이 파일을 변경하면 시스템에서 변경사항을 적용하기 위해 시스템을 재시작해야 합니다. 따라서 위 단계 중 하나 이상에 SAP PI를 재시작해야 할 수 있으므로 적절히 계획하십시오.
이러한 단계에 대한 해결 방법은 없으며, 성공적으로 거래하려면 SAP PI가 SAP Integration Suite, 비용 관리 및 SAP Business Network 엔드포인트용 관리 게이트웨이에 나열된 지원되는 암호화 중 하나 이상과 호환되는지 확인해야 합니다.

추가 참조

내부 SAP PI Basis/보안 팀에 문의하여 SAP PI 버전이 위에 나열된 비용 관리를 위한 SAP Integration Suite, 관리 게이트웨이 및 SAP Business Network 지원 암호와 호환되는지 확인하고 그에 따라 PI 버전에 맞는 변경사항을 구현하십시오.
SAP PI Basis/보안 팀에서 SAP PI 시스템의 변경사항을 구현하는 방법에 대해 더 자세히 설명해야 하거나 위에서 읽은 후에도 시나리오와 관련된 사항에 대해 질문이 있는 경우, 컴포넌트 BC-JAS-SEC-CPG(SAP Netweaver AS Java) 또는 BC-XI-CON-AFW-SEC(보안)에 SAP PI OSS 인시던트를 기록합니다. SAP OSS 인시던트 생성 방법에 대한 단계는 FAQ SAP OSS 인시던트를 생성하려면 어떻게 해야 합니까?
자세한 내용은 아래의 SAP KBA:

1. 1240081에 따라 SAP KBA JCE 무제한 정책 활성화 - JCE(Java Cryptography Extension) 관할 구역 정책 파일. 256 암호화 스위트는 이 옵션을 통해서만 사용할 수 있습니다.
2. 2284059 - NW Java 서버 내에서 SSL 라이브러리 업데이트
3. 2604240 - SNI 확장이 누락되어 TLS 핸드셰이크 실패

적용 대상

SAP Integration Suite 관리 게이트웨이 > Business Network SCC용 관리 게이트웨이 > 구매자 Business Network SCC용 관리 게이트웨이
SAP Integration Suite 관리 게이트웨이 > Business Network용 관리 게이트웨이
SAP Integration Suite 관리 게이트웨이 > 소싱용 관리 게이트웨이 - 통합