在面向 Spend&Network 的托管网关 TLS 1.2 密码套件强化活动后，发送到面向支出管理的 Ariba SAP Integration Suite 托管网关和 SAP Business Network (CIG) 的所有 SAP Process Integration/Process Orchestration (PI/PO) 出站消息均因以下 SSL 握手错误而失败：

握手时出现 SSLException：同级人员已发送警报： 警报 致命：握手失败

1.作为 TLS 1.2 密码套件的一部分，强化面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 将弃用面向支出管理和 SAP Business Network 的 SAP Integration Suite 托管网关的以下密码。它们因不支持 Perfect Forward Secrecy (PFS) 而被移除，并且在 TLS 握手期间将不再提供。如果您的任何外部客户仍使用以下任何已弃用的密码套件建立 SSL 握手，将无法与面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 进行通信。因此，事务将因 SSL 握手错误而失败。

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

2.根据客户端服务器体系结构，客户端显示密码列表，服务器选择支持的密码并建立 SSL 握手。如果您的 SAP PI 客户端在与面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 服务器进行 TLS 握手期间未至少发送一个面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 支持的密码，则会发生 SSL 握手失败。

请确保您的 SAP PI 版本 (SAP NetWeaver for AS Java) 的 IAIK Java 库支持以下任意密码（即 ECDHE 或 DHE），以与面向 Spend&Network 的托管网关主机 URL 建立成功的 SSL 握手。根据您要连接的面向 Spend&Network 的托管网关数据中心，此 URL 将更改。

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

上述 ECDHE 或 DHE 密码可能未在每个 SAP PI 系统中默认启用，具体取决于您的特定 SAP PI 版本。请参阅 KBA 如何检查我的 SAP PI AS Java 运行时中启用的密码套件清单？，了解在运行时检查 SAP PI 系统中启用的密码清单的步骤。

有关如何在 SAP PI 系统中启用 ECHDE 或 DHE 密码的高级指南，请参阅以下步骤：

• 有关 SAP PI 版本中上述列出 TLS_ECDHE 密码的支持信息，请参阅下文：
  
  1.如果仅在 SAP PI 中使用 TLS_ECDHE 密码，则唯一选项是 SAP KBA 2538934 - 在连接到仅支持 TLS_ECDHE 密码的服务器时 PI 中握手失败。
  2。要启用 ECDHE 密码，您的 SAP PI 系统必须处于可以实施 SAP Note 2708581 - SAP NW AS Java 中出站连接的 ECC 支持的版本。此注释仅适用于 NetWeaver AS Java 7.50 版支持包 08 或更高版本。
  3。如果您的 SAP PI 系统版本低于上述版本，例如SAP PI 7.50 SP07 等，不支持 ECDHE 密码。在这种情况下，请不要使用 SSLContext.properties 启用 ECDHE，否则将导致影响所有集成的问题。
  
  
• 如果您的 SAP PI 版本不支持列出的 ECDHE 密码，您可以启用仍属于上述支持的面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 端点列表的 DHE 密码。有关 SAP PI 版本中 DHE 密码的支持信息，请参阅下文：
  
  1。为启用 DHE 密码，您可以遵循 SAP KBA 2569156 - 如何创建、修改和验证 SSLContext.properties 文件，这适用于 SAP NetWeaver for AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI 环境。
  2.请注意，如果 SSLContext.properties 文件中不存在 Cipher 套件条目，则表示 SAP Note 2284059 - Update of SSL library in NW Java server "Cipher suites supported in the default configuration" 部分中列出的缺省条目。
  3。如果要使用默认以外的其他密码套件配置，请参阅 SAP Note 2284059 - Update of SSL library in NW Java server 的“修改支持的密码套件列表”部分和知识库文章 2616983 - How to customize cipherSuite=<name of cipherSuite> 参数的 SSLContext.properties 文件中的密码套件。
  4。请注意，只有一个此类行会取消激活所有缺省密码，如果您仍希望在配置此参数时使用缺省密码，则必须显式列出这些密码。
  
  
• 当 AS Java 启动时，系统 会加载 SSLContext.properties，因此在此文件中进行的任何更改都需要重新启动系统才能使更改在系统中可用。因此，上述一个或多个步骤可能需要 SAP PI 重新启动，因此请进行相应计划。
  
  
• 这些步骤都没有解决方案，您应该确保 SAP PI 与面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 端点中列出的至少一个支持密码兼容，以便成功交易。

• 有关验证 SAP PI 版本是否与上面列出的任何面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 支持的密码兼容，并相应地实施适合您的 PI 版本的更改，请联系您的内部 SAP PI Basis/安全团队。
  
  
• 如果您的 SAP PI Basis/安全团队需要进一步解释如何在 SAP PI 系统中实施更改，或者即使阅读上述内容后还有与您的场景相关的问题，请在组件 BC-JAS-SEC-CPG (SAP Netweaver AS Java) 或 BC-XI-CON-AFW-SEC（安全）下记录 SAP PI OSS 事件，因为这是纯 SAP PI 基础/安全配置。有关如何创建 SAP OSS 事件的步骤详见 常见问题 如何创建 SAP OSS 事件？
  
  
• 有关详细信息，请参阅以下 SAP KBA：
  
  1.SAP KBA 根据 1240081 启用 JCE 无限制策略 - Java 加密扩展 (JCE) 管辖权策略文件。256 编码器套件仅适用于此选项。
  2. 2284059 - 更新 NW Java 服务器中的 SSL 库
  3. 2604240 - 由于缺少 SNI 扩展导致的 TLS 握手失败

SAP Integration Suite 托管网关 > 面向业务网络 SCC 的托管网关 > 面向采购商业务网络 SCC 的托管网关
SAP Integration Suite 托管网关 > 面向业务网络的托管网关
SAP Integration Suite 托管网关 > 面向寻源的托管网关集成