После того как управляемый шлюз для Spend Management и SAP Business Network Комплекты шифров TLS 1.2 активируют все мои исходящие сообщения SAP Process Integration/Process Orchestration (PI/PO), отправленные в Ariba SAP Integration Suite, управляемый шлюз для Spend Management и SAP Business Network (CIG), не удается из-за следующей ошибки квитирования SSL:

Особая ситуация SSL при handshaking: одноранговое сообщение отправлено: предупреждение неустранимо: ошибка квитирования

1. В рамках пакета шифров TLS 1.2 для укрепления SAP Integration Suite, управляемого шлюза для управления расходами и SAP Business Network, следующие шифры устареют для управляемого шлюза SAP Integration Suite для Spend Management и SAP Business Network. Они были удалены для неподдержки Perfect Forward Secrecy (PFS) и больше не будут предлагаться во время квитирования TLS. Если какой-либо из ваших внешних клиентов еще использует какой-либо из следующих устаревших наборов шифров для установки подтверждения SSL, он не сможет взаимодействовать с SAP Integration Suite, управляемым шлюзом для управления расходами и SAP Business Network. В результате транзакции завершатся сбоем с ошибками подтверждения SSL.

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2. В соответствии с архитектурой клиентского сервера клиент представляет список шифров и выбирает поддерживаемый шифр, и устанавливается SSL-квитирование. Если ваш клиент SAP PI не отправляет хотя бы один из SAP Integration Suite, управляемого шлюза для управления расходами, и шифров, поддерживаемых SAP Business Network, во время квитирования TLS с SAP Integration Suite, управляемым шлюзом для управления расходами и сервером SAP Business Network, происходит ошибка подтверждения SSL.

Убедитесь, что библиотека Java IAIK вашей версии SAP PI (SAP NetWeaver для AS Java) поддерживает любой из перечисленных ниже шифров (например, ECDHE или DHE), чтобы установить успешное квитирование SSL с управляемым шлюзом для Spend Management и SAP Business Network. В зависимости от центра обработки данных управляемого шлюза для Spend Management и SAP Business Network, который вы подключаете, этот URL изменится.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Приведенные выше шифры ECDHE или DHE могут быть не активированы по умолчанию в каждой системе SAP PI и зависят от конкретной версии SAP PI. См. статью базы знаний Как проверить список наборов шифров, активированных в моей среде выполнения SAP PI AS Java? для проверки списка шифров, активированных в вашей системе SAP PI во время выполнения.

Для получения общих инструкций по активации шифров ECHDE или DHE в системе SAP PI см. следующие шаги:

• Для получения информации о поддержке перечисленных выше шифров TLS_ECDHE в вашей версии SAP PI см. ниже:
  
  1. Если в SAP PI должны использоваться только шифры TLS_ECDHE, доступны только те, которые описаны в SAP KBA 2538934 - сбой квитирования в PI при подключении к серверу, который поддерживает только шифры TLS_ECDHE.
  2. Для активации шифров ECDHE система SAP PI должна иметь версию, в которой может быть реализована SAP-нота 2708581 – Поддержка ECC для исходящих соединений в SAP NW AS Java. Эта нота доступна только для NetWeaver AS Java версии 7.50 с пакетом поддержки 08 или выше.
  3. Если ваша система SAP PI имеет более раннюю версию, чем указано выше, например SAP PI 7.50 SP07 и т. д., он не поддерживает шифры ECDHE. В этом случае не включайте ECDHE с помощью SSLContext.properties, иначе возникнут проблемы, влияющие на все ваши интеграции.
  
  
• Если ваша версия SAP PI не поддерживает перечисленные шифры ECDHE, можно включить шифры DHE, которые по-прежнему входят в список поддерживаемых выше SAP Integration Suite, управляемого шлюза для управления расходами и конечной точки SAP Business Network. Для получения информации о поддержке шифров DHE в версии SAP PI см. ниже:
  
  1. Чтобы активировать шифры DHE, см. SAP KBA 2569156 - Как создать, изменить и проверить файл SSLContext.properties, это применимо к SAP NetWeaver для AS Java 7.1X/7.2/7.3X/7.4/7.5 сред SAP PI.
  2. Если в файле SSLContext.properties нет записи пакета шифров, это означает, что используются наборы шифров по умолчанию, перечисленные в SAP-ноте 2284059 "Обновление библиотеки SSL на сервере NW Java "Наборы шифров, поддерживаемые в конфигурации по умолчанию".
  3. Если требуется использовать конфигурацию пакета шифров, отличную от конфигурации по умолчанию, см. "Изменение списка поддерживаемых наборов шифров" в SAP-ноте 2284059 - Обновление библиотеки SSL на сервере NW Java и KBA 2616983 - Настройка наборов шифров в файле SSLContext.properties с параметром cipherSuite=<имя набора шифров>.
  4. Обратите внимание, что только одна такая строка деактивирует все шифры по умолчанию, и они должны быть указаны явно, если вы все равно хотите использовать шифры по умолчанию, когда настроен этот параметр.
  
  
• SSLContext.properties загружается системой при запуске AS Java, поэтому любые изменения в этом файле требуют перезапуска системы, чтобы изменения стали доступны в вашей системе. Следовательно, один или несколько из описанных выше шагов могут потребовать перезапуска SAP PI, поэтому запланируйте соответствующие действия.
  
  
• Ни один из этих шагов не требует обходного решения и для успешной обработки должен быть обеспечен совместимость SAP PI с хотя бы одним из поддерживаемых шифров, перечисленных в управляемом шлюзе SAP Integration Suite для управления расходами и конечной точке SAP Business Network.

• Обратитесь к своим внутренним группам SAP PI Basis/security для получения дополнительных сведений о совместимости вашей версии SAP PI с любым из перечисленных выше SAP Integration Suite, управляемым шлюзом для управления расходами и шифрами, поддерживаемыми SAP Business Network, и реализуйте изменения, соответствующие вашей версии PI.
  
  
• Если вашим группам базиса/безопасности SAP PI требуются дополнительные пояснения по реализации изменений в системе SAP PI или есть вопросы о том, что релевантно для вашего сценария, даже после чтения выше, зарегистрируйте инцидент SAP PI OSS в компоненте BC-JAS-SEC-CPG (SAP Netweaver AS Java) или BC-XI-CON-AFW-SEC (безопасность), так как это чистая конфигурация базиса/безопасности SAP PI. Шаги создания инцидента SAP OSS подробно описаны в FAQ Как создать инцидент SAP OSS?
  
  
• Для получения дополнительной информации см. следующие статьи базы знаний SAP:
  
  1. SAP KBA Enable JCE Unlimited Policies as per 1240081 - Java Cryptography Extension (JCE) Jurisdiction Policy Files. 256 Cipher Suite доступны только с этой опцией.
  2. 2284059 – Обновление библиотеки SSL в рамках сервера NW Java
  3. 2604240 - Сбой при квитировании TLS из-за отсутствия расширения SNI

Управляемый шлюз SAP Integration Suite > Управляемый шлюз для Business Network SCC > Управляемый шлюз для Buyer Business Network SCC
Управляемый шлюз SAP Integration Suite > Управляемый шлюз для SAP Business Network
Управляемый шлюз SAP Integration Suite > Управляемый шлюз для интеграции SAP Sourcing