SAP PI/PO Error: "SSLException while handshaking:handshake failure" when connecting to SAP Integration Suite, managed gateway for spend management and SAP Business Network

	한국어 - 기계 번역	
Deutsch - 기계 번역 English Español - 기계 번역 Français (France) - 기계 번역 Italiano - 기계 번역 日本語 - 기계 번역 Português (Brasil) - 기계 번역 Русский - 기계 번역 简体中文 - 기계 번역

지원 참고 사항 KB0406291

SAP PI/PO 오류: 지출 관리 및 SAP Business Network를 위한 SAP Integration Suite의 관리형 게이트웨이에 연결하는 동안 "악수:핸드셰이크 실패 중 SSL 예외"

이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.

증명서

Managed Gateway for Spend&Network TLS 1.2 암호화 스위트 강화 후 Ariba SAP Integration Suite, 비용 관리 및 SAP Business Network(CIG)를 위한 관리 게이트웨이로 전송된 모든 내 SAP Process Integration/Process Orchestration(PI/PO) 아웃바운드 메시지가 아래 SSL 핸드셰이크 오류로 인해 실패합니다.

핸드셰이킹 중 SSLException: 피어 발신 경고: 경고 심각: 핸드셰이크 실패

구성원

1. TLS 1.2 암호화 제품군의 일부로서 SAP Integration Suite를 강화하는 지출 관리 및 SAP Business Network를 위한 관리 게이트웨이는 비용 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이에 대한 아래 암호를 더 이상 사용하지 않습니다. PFS(Perfect Forward Secrecy)를 지원하지 않기 위해 제거되었으며 TLS 핸드셰이크 중에는 더 이상 제공되지 않습니다. 외부 고객이 SSL 핸드셰이크를 설정하기 위해 사용되지 않는 다음 암호화 제품군을 사용하는 경우 비용 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이와 통신할 수 없습니다. 결과적으로 트랜잭션이 실패하고 SSL 핸드셰이크 오류가 발생합니다.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. 클라이언트 서버 아키텍처에 따라 클라이언트는 암호 리스트를 표시하고 서버는 지원되는 암호를 선택하고 SSL 핸드셰이크가 설정됩니다. SAP PI 클라이언트가 지출 관리 및 SAP Business Network 서버를 위한 관리 게이트웨이인 SAP Integration Suite와의 TLS 핸드셰이크 중에 비용 관리 및 SAP Business Network를 위한 SAP Integration Suite, 관리 게이트웨이 중 하나 이상을 전송하지 않으면 SSL 핸드셰이크 오류가 발생합니다.

해답

SAP PI 버전의 IAIK Java 라이브러리(SAP NetWeaver for AS Java)가 다음 암호(예: ECDHE 또는 DHE)를 지원하여 Managed Gateway for Spend&Network 호스트 URL과 SSL 핸드셰이크를 성공적으로 설정하도록 하십시오. 연결 중인 Managed Gateway for Spend&Network 데이터 센터에 따라 이 URL이 변경됩니다.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

위의 ECDHE 또는 DHE 암호화는 모든 SAP PI 시스템에서 기본적으로 활성화되지 않을 수 있으며 특정 SAP PI 버전에 따라 달라질 수 있습니다. KBA 를 참조하십시오. SAP PI AS Java 런타임에서 활성화된 Cipher 제품군 목록을 확인하려면 어떻게 해야 합니까? 런타임 시 SAP PI 시스템에서 활성화된 암호 리스트를 확인하는 단계

SAP PI 시스템에서 ECHDE 또는 DHE 암호를 활성화하는 방법을 알아보려면 아래 단계를 참조하십시오.

SAP PI 버전에서 위에 나열된 TLS_ECDHE 암호의 지원에 관한 자세한 내용은 다음을 참조하십시오.

1. SAP PI에 TLS_ECDHE 암호만 사용되는 경우, TLS_ECDHE 암호만 지원하는 서버에 연결할 때 SAP KBA 2538934 - 핸드셰이크에서 실패하는 항목이 유일한 옵션입니다.
2. ECDHE 암호를 사용하려면 SAP NW AS Java에서 SAP Note 2708581 - ECC Support for Outbound Connections 를 구현할 수 있는 버전이 SAP PI 시스템에 있어야 합니다. 이 노트는 NetWeaver AS Java 릴리스 7.50 지원 패키지 08 이상에서만 사용할 수 있습니다.
3. SAP PI 시스템이 위에 명시된 버전보다 낮은 버전인 경우(예: SAP PI 7.50 SP07 등은 ECDHE 암호를 지원하지 않습니다. 이 경우 SSLContext.properties을 사용하여 ECDHE를 활성화하지 마십시오. 그렇지 않으면 모든 통합에 영향을 주는 문제가 발생할 수 있습니다.
SAP PI 버전이 나열된 ECDHE 암호를 지원하지 않는 경우 지출 관리 및 SAP Business Network 엔드포인트를 위한 SAP Integration Suite, 관리 게이트웨이 목록에 여전히 포함된 DHE 암호를 활성화할 수 있습니다. SAP PI 버전에서의 DHE 암호 지원에 관한 자세한 내용은 다음을 참조하십시오.

1. DHE 암호를 활성화하려면 SAP KBA 2569156 - SSLContext.properties 파일을 생성, 수정 및 검증하는 방법을 따르십시오. 이는 SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI environments. 에 적용됩니다.
2. SSLContext.properties 파일에 암호 그룹 항목이 없으면 SAP Note 2284059 - Update of SSL library in NW Java server "Cipher suites supported in the default configuration" 부분에 기본 항목이 사용됨을 알 수 있습니다.
3. 기본값이 아닌 다른 암호 그룹 구성을 사용하려면 SAP Note 2284059 - Update of SSL library in the NW Java server and the KBA 2616983 - How to customize cipher suites in SSLContext.properties file with parameter cipherSuite=<name of cipher suite>의 "지원되는 암호 스위트 리스트 수정"을 참조하십시오.
4. 이러한 줄 하나만 모든 기본 암호를 비활성화하며 이 매개변수를 구성할 때 기본 암호를 계속 사용하려면 명시적으로 나열해야 합니다.
AS Java가 시작되면 SSLContext.properties이(가) 시스템에 로드되므로 이 파일을 변경하려면 시스템을 다시 시작해야 변경사항이 시스템에서 사용 가능하게 됩니다. 따라서 위 단계 중 하나 이상을 재시작해야 할 수 있으므로 적절히 계획하십시오.
이러한 단계에 대한 해결 방법은 없으며, SAP PI가 성공적으로 거래하려면 비용 관리 및 SAP Business Network 엔드포인트를 위한 SAP Integration Suite, 관리 게이트웨이에 나열된 하나 이상의 지원되는 암호와 호환되는지 확인해야 합니다.

또한 다음을 참조하십시오.

SAP PI 버전이 지출 관리 및 SAP Business Network 지원 암호화를 위해 위에 나열된 SAP Integration Suite, 관리 게이트웨이와 호환되는지 확인하기 위한 자세한 내용은 내부 SAP PI Basis/Security 팀에 문의하고 그에 따라 PI 버전에 적합한 변경사항을 구현하십시오.
SAP PI Basis/보안 팀이 SAP PI 시스템에 변경사항을 구현하는 방법에 대한 추가 설명이 필요하거나 위의 내용을 읽은 후에도 시나리오와 관련된 사항에 대해 궁금한 점이 있으면 BC-JAS-SEC-CPG(SAP Netweaver AS Java) 또는 BC-XI-CON-AFW-SEC(보안) 컴포넌트에 SAP PI OSS 인시던트를 기록하십시오. SAP OSS 인시던트를 생성하는 방법에 대한 단계는 FAQ SAP OSS 인시던트를 생성하는 방법 에 설명되어 있습니다.
자세한 내용은 아래의 SAP KBA 을 참조하십시오.

1. SAP KBA 1240081 - Java Cryptography Extension(JCE) 관할 구역 정책 파일에 따라 JCE 무제한 정책을 활성화합니다. 256 암호화 그룹은 이 옵션에서만 사용할 수 있습니다.
2. 2284059 - NW Java 서버 내 SSL 라이브러리 업데이트
3. 2604240 - SNI 확장이 누락되어 TLS 핸드셰이크 실패

적용 대상

SAP Integration Suite 관리 게이트웨이 > Business Network SCC용 관리 게이트웨이 > 구매자 Business Network SCC용 관리 게이트웨이
SAP Integration Suite 관리 게이트웨이 > Business Network용 관리 게이트웨이
SAP Integration Suite 관리 게이트웨이 > 소싱용 관리 게이트웨이 - 통합