Depois de os conjuntos de cifras TLS 1.2 do gateway gerenciado para despesas e Network fortalecerem a atividade, todas as minhas mensagens de saída do SAP Process Integration/Process Orchestration (PI/PO) enviadas para o Ariba SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network (CIG) falham com o erro de handshake SSL a seguir:

SSLException ao handshaking: alerta enviado por pares: alerta fatal: falha de handshake

1. Como parte do fortalecimento do conjunto de cifras TLS 1.2, o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network tornará obsoletas as codificações a seguir para o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network. Eles foram removidos por não suportarem o Perfect Forward Secrecy (PFS) e não serão mais oferecidos durante o handshake TLS. Se algum de seus clientes externos ainda usar qualquer um dos seguintes conjuntos de codificações obsoletos para estabelecer o handshake SSL, não poderá se comunicar com o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network. Como resultado, as transações falharão com erros de handshake SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. De acordo com a arquitetura do servidor do cliente, o cliente apresenta uma lista de codificações e o servidor seleciona a codificação suportada e o handshake SSL é estabelecido. Se seu cliente SAP PI não estiver enviando pelo menos uma das codificações suportadas do SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network durante o handshake TLS com o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e servidor do SAP Business Network, ocorre falha no handshake SSL.

Certifique-se de que a biblioteca Java IAIK de sua versão SAP PI (SAP NetWeaver para AS Java) suporta qualquer uma das codificações abaixo (ou seja, ECDHE ou DHE) para estabelecer handshake SSL com êxito com URLs de host do gateway gerenciado para despesas e Network. Dependendo do centro de dados do gateway gerenciado para despesas e Network que você está conectando, esse URL será alterado.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

As codificações ECDHE ou DHE acima podem não estar ativadas por padrão em todos os sistemas SAP PI e dependem de sua versão SAP PI específica. Consulte KBA Como verifico a lista de suítes de criptografia ativada no meu tempo de execução SAP PI AS Java? para etapas para verificar a lista de codificações ativadas em seu sistema SAP PI no momento da execução.

Consulte as etapas abaixo para obter orientação de alto nível para saber como ativar codificações ECHDE ou DHE em seu sistema SAP PI:

• Para obter informações sobre o suporte das codificações TLS_ECDHE listadas acima em sua versão SAP PI, consulte abaixo:
  
  1. Caso devam ser utilizadas somente codificações TLS_ECDHE em seu SAP PI, as únicas opções são as descritas em SAP KBA 2538934 - Handshake está falhando em PI ao se conectar a um servidor que só suporta codificações TLS_ECDHE.
  2. Para ativar codificações ECDHE, seu sistema SAP PI deve estar em uma versão em que a nota SAP 2708581 - Suporte ECC para conexões de saída no SAP NW AS Java pode ser implementada. Esta nota só está disponível para NetWeaver AS Java release 7.50 Support Package 08 ou superior.
  3. Se seu sistema SAP PI estiver em qualquer versão inferior à indicada acima, por exemplo, SAP PI 7.50 SP07 etc., ele não suporta codificações ECDHE. Nesse caso, não ative o ECDHE usando SSLContext.properties ou você causará problemas que afetarão todas as suas integrações.
  
  
• Se sua versão do SAP PI não suportar codificações ECDHE listadas, você pode habilitar as codificações DHE que ainda fazem parte da lista suportada acima do SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e ponto de extremidade do SAP Business Network. Para obter informações sobre o suporte de codificações DHE em sua versão do SAP PI, consulte abaixo:
  
  1. Para ativar codificações DHE, você pode seguir SAP KBA 2569156 - Como criar, modificar e validar arquivos SSLContext.properties, isso é aplicável aos ambientes SAP NetWeaver para AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
  2. Informamos que, se nenhuma entrada de suíte Cipher estiver presente no arquivo SSLContext.properties, isso significa que as padrão são usadas listadas na nota SAP 2284059 - Atualização da biblioteca SSL na parte "Suítes de codificação suportadas na configuração padrão" do servidor Java NW.
  3. Se você quiser usar outra configuração do conjunto de codificações além do padrão, consulte "Modificar a lista de conjuntos de cifras suportados" parte da nota SAP 2284059 - Atualização da biblioteca SSL no servidor Java NW e no KBA 2616983 - Como personalizar conjuntos de cifras no arquivo SSLContext.properties com o parâmetro cipherSuite=<nome do conjunto de cifras>.
  4. Considere que somente uma dessas linhas desativa todas as codificações padrão e elas devem ser listadas explicitamente se você ainda quiser usar as criptografias padrão quando tiver configurado este parâmetro.
  
  
• SSLContext.properties é carregado pelo sistema quando seu AS Java é iniciado, portanto, qualquer modificação neste arquivo requer um reinício do sistema para disponibilizar as modificações em seu sistema. Por isso, uma ou mais das etapas acima podem exigir o reinício do SAP PI, por isso, planeje de modo correspondente.
  
  
• Não existe uma solução alternativa para nenhum desses passos e você deve garantir que seu SAP PI é compatível com pelo menos uma das codificações suportadas listadas no SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e ponto de extremidade do SAP Business Network para realizar transações com êxito.

• Entre em contato com suas equipes internas de SAP PI Basis/segurança para obter mais detalhes sobre a validação se sua versão do SAP PI for compatível com qualquer uma das codificações listadas acima do SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network e implemente alterações adequadas à sua versão PI de modo correspondente.
  
  
• Se suas equipes de base/segurança do SAP PI precisarem de mais explicações sobre como implementar as modificações em seu sistema SAP PI ou tiverem dúvidas sobre o que é relevante para seu cenário, mesmo após a leitura acima, registre em log um incidente SAP PI OSS no componente BC-JAS-SEC-CPG (SAP Netweaver AS Java) ou BC-XI-CON-AFW-SEC (Segurança), uma vez que esta é uma configuração básica/de segurança SAP PI pura. As etapas sobre como criar um incidente SAP OSS estão detalhadas em FAQ Como crio um incidente SAP OSS?
  
  
• Para informações adicionais, consulte os KBA da SAP abaixo:
  
  1. SAP KBA Ativar políticas ilimitadas de JCE de acordo com 1240081 - Arquivos de política de jurisdição Java Cryptography Extension (JCE). 256 Cipher Suites só estão disponíveis com esta opção.
  2. 2284059 - Atualização da biblioteca SSL no servidor Java NW
  3. 2604240 - Falha de handshake TLS devido à falta de extensão SNI

SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Business Network
SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Business Network SCC > Gateway gerenciado para Business Network de comprador SCC
SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Sourcing Integração