Depois de todos os meus pacotes de cifras TLS 1.2 do Gateway gerenciado para despesas e Network endurecerem a atividade, todas as minhas mensagens de saída do SAP Process Integration/Process Orchestration (PI/PO) enviadas para o Ariba SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network (CIG) estão falhando com o erro de handshake SSL a seguir:

SSLException ao manipular: alerta de Par enviado: Alerta Fatal: falha de handshake

1. Como parte do endurecimento do conjunto de cifras TLS 1.2 do SAP Integration Suite, o gateway gerenciado para gerenciamento de despesas e SAP Business Network tornará obsoletas as codificações a seguir para o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network. Eles foram removidos por não suportarem o Perfect Forward Secrecy (PFS) e não serão mais oferecidos durante o aperto de mão TLS. Se algum de seus clientes externos ainda usar qualquer um dos seguintes conjuntos de cifras obsoletos para estabelecer o handshake SSL, o não poderá se comunicar com o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network. Como resultado, as transações falharão com erros de handshake SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. De acordo com a arquitetura do servidor cliente, o cliente apresenta uma lista de cifras e o servidor seleciona a cifra suportada e o handshake SSL é estabelecido. Se seu cliente SAP PI não estiver enviando pelo menos uma das codificações suportadas pelo SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network durante o handshake TLS com o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e servidor do SAP Business Network, ocorrerá uma falha de handshake SSL.

Certifique-se de que a biblioteca Java IAIK de sua versão do SAP PI (SAP NetWeaver para AS Java) suporte qualquer uma das codificações abaixo (ou seja, ECDHE ou DHE) para estabelecer um handshake SSL bem-sucedido com os URLs de host do Gateway gerenciado para despesas e Network. Dependendo do centro de dados do gateway gerenciado para despesas e Network que você está conectando, este URL será alterado.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

As codificações ECDHE ou DHE acima podem não estar ativadas por padrão em todos os sistemas SAP PI e dependem de sua versão SAP PI específica. Consulte KBA Como verifico a lista de suítes de codificações ativadas em meu tempo de execução SAP PI AS Java? para etapas para verificar a lista de codificações ativadas no seu sistema SAP PI no momento da execução.

Consulte as etapas abaixo para obter orientação de alto nível para saber como ativar codificações ECHDE ou DHE em seu sistema SAP PI:

• Para obter informações sobre o suporte das cifras TLS_ECDHE listadas acima em sua versão do SAP PI, consulte abaixo:
  
  1. Caso somente as codificações TLS_ECDHE devam ser utilizadas em seu SAP PI, as únicas opções são as descritas no SAP KBA 2538934 - Handshake está falhando no PI ao se conectar a um servidor que só suporta codificações TLS_ECDHE.
  2. Para ativar codificações ECDHE, seu sistema SAP PI deve estar em uma versão onde a nota SAP 2708581 - ECC Support for Outbound Connections no SAP NW AS Java pode ser implementada. Esta nota só está disponível para NetWeaver AS Java release 7.50 Support Package 08 ou superior.
  3. Se o seu sistema SAP PI estiver em uma versão inferior à mencionada acima, por exemplo, SAP PI 7.50 SP07, etc., não suporta codificações ECDHE. Nesse caso, não ative o ECDHE usando SSLContext.properties ou você causará problemas que afetarão todas as suas integrações.
  
  
• Se sua versão do SAP PI não suportar codificações ECDHE listadas, você pode habilitar as codificações DHE que ainda fazem parte da lista suportada acima de SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e ponto de acesso do SAP Business Network. Para obter informações sobre o suporte de codificações DHE em sua versão do SAP PI, consulte abaixo:
  
  1. Para ativar codificações DHE, você pode seguir SAP KBA 2569156 - Como criar, modificar e validar o arquivo SSLContext.properties, isso é aplicável a ambientes SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
  2. Se nenhuma entrada de suíte Cipher estiver presente no arquivo SSLContext.properties, isso significa que as suítes padrão são usadas na parte da Nota SAP 2284059 - Atualização da biblioteca SSL no servidor Java NW "Suítes de criptografia suportadas na configuração padrão".
  3. Se você quiser usar outra configuração do conjunto de codificações diferente do padrão, consulte "Modificar a lista de conjuntos de cifras suportados" parte da nota SAP 2284059 - Atualização da biblioteca SSL no servidor NW Java e o KBA 2616983 - Como personalizar conjuntos de cifras no arquivo SSLContext.properties com o parâmetro cipherSuite=<name of cipher suite>.
  4. Considere que somente uma dessas linhas desativa todas as codificações padrão e elas devem ser listadas explicitamente se você ainda quiser usar as criptografias padrão quando tiver configurado este parâmetro.
  
  
• SSLContext.properties é carregado pelo sistema quando seu AS Java é iniciado, por isso, qualquer modificação neste arquivo requer um reinício do sistema para disponibilizar as modificações em seu sistema. Por isso, uma ou mais das etapas acima podem necessitar de um reinício de SAP PI, por isso, planeje de modo correspondente.
  
  
• Não existe solução alternativa para nenhum desses passos e você deve garantir que seu SAP PI é compatível com pelo menos uma das criptografias suportadas listadas no SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e ponto de extremidade do SAP Business Network para realizar transações com êxito.

• Entre em contato com suas equipes internas de base/segurança do SAP PI para obter mais detalhes sobre a validação se sua versão do SAP PI for compatível com qualquer uma das codificações suportadas pelo SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network e implemente alterações adequadas à sua versão PI.
  
  
• Se suas equipes de base/segurança do SAP PI precisarem de mais explicações sobre como implementar as modificações em seu sistema SAP PI ou tiverem dúvidas sobre o que é relevante para seu cenário mesmo após a leitura acima, registre em log um incidente SAP PI OSS no componente BC-JAS-SEC-CPG (SAP Netweaver AS Java) ou BC-XI-CON-AFW-SEC (Segurança), uma vez que esta é uma configuração de base/segurança SAP PI pura. As etapas sobre como criar um incidente SAP OSS são detalhadas em FAQ Como posso criar um incidente SAP OSS?
  
  
• Para informações adicionais, consulte abaixo SAP KBA's:
  
  1. SAP KBA Ativar políticas ilimitadas JCE de acordo com 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Suítes de codificações só estão disponíveis com esta opção.
  2. 2284059 - Atualização da biblioteca SSL dentro do servidor NW Java
  3. 2604240 - Falha de handshake TLS devido à falta de extensão SNI

SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Business Network
SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Business Network SCC > Gateway gerenciado para Business Network de comprador SCC
SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Sourcing Integração