После повышения безопасности наборов шифров управляемого шлюза для Spend Management и SAP Business Network 1.2 все мои исходящие сообщения SAP Process Integration/Process Orchestration (PI/PO), отправленные в Ariba SAP Integration Suite, управляемый шлюз для управления расходами, и SAP Business Network (CIG) не удается выполнить из-за следующей ошибки квитирования SSL:

Особая ситуация SSL при рукопожатии: коллега отправила предупреждение: предупреждение неустранимо: сбой квитирования

1. В рамках повышения безопасности набора шифров TLS 1.2 для SAP Integration Suite управляемый шлюз для управления расходами и SAP Business Network отменит перечисленные ниже шифры для SAP Integration Suite, управляемого шлюза для управления расходами и SAP Business Network. Они были удалены из-за отсутствия поддержки Perfect Forward Secrecy (PFS) и больше не будут предлагаться во время квитирования TLS. Если какой-либо из ваших внешних клиентов все еще использует любой из следующих устаревших наборов шифров для установки подтверждения SSL, не сможет установить связь с SAP Integration Suite, управляемым шлюзом для управления расходами и SAP Business Network. В результате транзакции не будут выполнены с ошибками квитирования SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. В соответствии с архитектурой клиентского сервера клиент представляет список шифров и сервер выбирает поддерживаемый шифр, и устанавливается подтверждение установки соединения SSL. Если клиент SAP PI не отправляет хотя бы один из поддерживаемых шифров SAP Integration Suite, управляемый шлюз для управления расходами и SAP Business Network во время квитирования TLS с SAP Integration Suite, управляемым шлюзом для управления расходами и сервером SAP Business Network, происходит сбой подтверждения SSL.

Убедитесь, что библиотека IAIK Java вашей версии SAP PI (SAP NetWeaver для AS Java) поддерживает любой из перечисленных ниже шифров (т. е. ECDHE или DHE), чтобы установить успешное квитирование SSL с URL-адресами хостов Managed Gateway for Spend and Network. В зависимости от подключенного центра обработки данных управляемого шлюза для управления расходами и SAP Business Network этот URL изменится.

• TLS_ECDHE_RSA_WITH_AES_128_GM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GM_SHA384

Указанные выше шифры ECDHE или DHE могут быть активированы не в каждой системе SAP PI по умолчанию и зависят от вашей конкретной версии SAP PI. См. статью базы знаний Как проверить список наборов шифров, активированных в моей среде выполнения SAP PI AS Java? для шагов для проверки списка шифров, активированных в вашей системе SAP PI во время выполнения.

Для получения общих инструкций по активации шифров ECHDE или DHE в системе SAP PI см. следующие шаги:

• Для получения информации о поддержке перечисленных выше шифров TLS_ECDHE в вашей версии SAP PI см.:
  
  1. Если в SAP PI должны использоваться только шифры TLS_ECDHE, то единственные варианты описаны в SAP KBA 2538934 - квитирование не выполняется в PI при подключении к серверу, который поддерживает только шифры TLS_ECDHE.
  2. Чтобы активировать шифры ECDHE, ваша система SAP PI должна быть в версии, где может быть реализована SAP-нота 2708581 - Поддержка ECC для исходящих соединений в SAP NW AS Java. Эта нота доступна только для NetWeaver AS Java версии 7.50 с пакетом поддержки 08 или выше.
  3. Если ваша система SAP PI имеет более раннюю версию, чем указано выше, например SAP PI 7.50 SP07 и т. д. не поддерживает шифры ECDHE. В этом случае не включайте ECDHE, используя SSLContext.properties, иначе возникнут проблемы, влияющие на все ваши интеграции.
  
  
• Если ваша версия SAP PI не поддерживает перечисленные шифры ECDHE, можно активировать шифры DHE, которые все еще входят в список поддерживаемых выше SAP Integration Suite, управляемый шлюз для управления расходами и конечную точку SAP Business Network. Для получения информации о поддержке шифров DHE в вашей версии SAP PI см.:
  
  1. Чтобы активировать шифры DHE, см. статью базы знаний SAP 2569156 "Создание, изменение и проверка файла SSLContext.properties", это относится к средам SAP NetWeaver для AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
  2. Обратите внимание, что если в файле SSLContext.properties нет записи пакета шифров, это означает, что они используются по умолчанию в SAP-ноте 2284059 "Обновление библиотеки SSL на сервере NW Java, поддерживаемые в конфигурации по умолчанию".
  3. Если требуется использовать другую конфигурацию пакета шифров, отличную от конфигурации по умолчанию, см. "Изменить список поддерживаемых наборов шифров" в SAP-ноте 2284059 "Обновление библиотеки SSL в сервере NW Java и KBA 2616983 - Настройка наборов шифров в файле SSLContext.properties с параметром cipherSuite=<имя набора шифров>.
  4. Обратите внимание, что только одна такая строка деактивирует все шифры по умолчанию и они должны быть явно указаны, если вы все еще хотите использовать шифры по умолчанию при настройке этого параметра.
  
  
• SSLContext.properties загружается системой при запуске AS Java, поэтому для любых изменений в этом файле требуется перезапуск системы, чтобы сделать изменения доступными в вашей системе. Следовательно, для одного или нескольких из перечисленных выше шагов может потребоваться перезапуск SAP PI, поэтому выполните соответствующее планирование.
  
  
• Обходного решения ни для одного из этих шагов не существует, и для успешного выполнения транзакций необходимо убедиться, что SAP PI совместим хотя бы с одним из поддерживаемых шифров, перечисленных в SAP Integration Suite, управляемом шлюзе для управления расходами и конечной точке SAP Business Network.

• Обратитесь к своим внутренним группам базиса/безопасности SAP PI для получения дополнительных сведений о проверке совместимости вашей версии SAP PI с любым из перечисленных выше управляемых шлюзов SAP Integration Suite для управления расходами и шифров, поддерживаемых SAP Business Network, и внесите соответствующие изменения в вашу версию PI.
  
  
• Если группам SAP PI Basis/Security требуется дополнительное пояснение по реализации изменений в системе SAP PI или есть вопросы о том, что релевантно для вашего сценария, даже после прочтения выше, создайте инцидент SAP PI OSS в компоненте BC-JAS-SEC-CPG (SAP Netweaver AS Java) или BC-XI-CON-AFW-SEC (Безопасность), поскольку это чистая конфигурация базиса/безопасности SAP PI. Шаги создания инцидента SAP OSS подробно описаны в разделе часто задаваемых вопросов Как создать инцидент SAP OSS?
  
  
• Для получения дополнительной информации см. статью базы знаний SAP:
  
  1. SAP KBA Enable JCE Unlimited Policies as per 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suites доступны только с этой опцией.
  2. 2284059 - Обновление библиотеки SSL в пределах сервера NW Java
  3. 2604240 - сбой квитирования TLS из-за отсутствия расширения SNI

Управляемый шлюз SAP Integration Suite > Управляемый шлюз для Business Network SCC > Управляемый шлюз для Buyer Business Network SCC
Управляемый шлюз SAP Integration Suite > Управляемый шлюз для SAP Business Network
Управляемый шлюз SAP Integration Suite > Управляемый шлюз для интеграции SAP Sourcing