点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
专家,
我需要使用" G"类型的RFC连接第三方门户,并使用客户端证书进行身份验证。 我在STRUST的SAPSSLC(SSL客户端证书标准)中添加了客户端身份验证证书。 当我尝试测试连接时,正在建立连接,但是在身份验证期间,它会收到SSL握手错误。 我已在ICM中启用了3级跟踪,并进行了分析,但没有明确的原因找到为什么客户端证书在第三方门户网站端被拒绝的原因。
我知道,第三方提供商必须将ABAP系统添加为受信任的系统,但是如果第三方提供商已经这样做,则尚未获得此确认。 看来SAP没有从SAPSSLC.PSE向3rd Party发送正确的客户端证书? 有人对此有意见吗?
我在ICM 3级跟踪中遇到以下错误:
hr 42792] CCL [SSL]:Cli-000018D4:服务器请求的客户端身份验证 [shr3_decode_certificate_request] [Thr 42792] CCL [SSL]:Cli-000018D4:服务器支持3种客户端证书类型 )[ssl3_decode_certificate_request] [Thr 42792] CCL [SSL]:Cli-000018D4:证书类型<0>:rsa_sign(1)[ssl3_log_certificate_type] [Thr 42792] CCL [SSL]:Cli-000018D4:证书类型<1>:dss_sign (2)[ssl3_log_certificate_type] [Thr 42792] CCL [SSL]:Cli-000018D4:证书类型<2>:ecdsa_sign(64)[ssl3_log_certificate_type] [Thr 42792] CCL [SSL]:Cli-000018D4:服务器已发送 0个用于客户端身份验证的受信任CA名称 [ssl3_decode_certificate_request] [Thr 42792] SSL:SSL_read(netin = 35)握手,已处理= 35 [Thr 42792] SSL:SiRecv(sock = 27340)== 0( SI_OK)(in = 1,最大值= 16)[Thr 42792] CCL [SSL]:Cli-000018D4:组装证书消息:服务器未提交CA名称。 [ssl3_check_for_ca] [Thr 42792] CCL [ SSL]:Cli-000018D4:发送自己的c 证书 [ssl3_output_cert_chain] [Thr 42792] CCL [SSL]:Cli-000018D4:自己的TLS证书:[Thr 42792]主题:CN =
您好 Isaias Freitas 和 Ger Munsters ,
首先,非常感谢您的宝贵意见和无限的帮助。 我无法解决问题,然后确认以这种方式配置第三方站点,使其仅接受.pfx证书(私钥和公钥)。 因此,我必须通过导航到Environment-> SSL client identities在STRUST事务中创建新的客户端身份。 然后在此处创建新条目,它将在STRUST事务左侧自动创建新文件夹。 我使用sapgenpse命令行工具从.PFX创建了.PSE文件,并将.PSE文件加载到了新创建的文件夹中。
ABAP团队在呼叫该站点时已进行编码,以从新的SSL客户端身份文件夹中加载证书。 通话成功。
非常感谢您的帮助:)
谢谢
Pradeep
Hello Pradeep,
服务器未发送任何CA,但是跟踪显示系统仍在发送自己的证书:
[Thr 42792] CCL [SSL]:Cli-000018D4:服务器发送了0个受信任的CA名称 )进行客户端身份验证
[Thr 42792] CCL [SSL]:Cli-000018D4:发送自己的证书[ssl3_output_cert_chain]
可能是因为在ssl/client_ciphersuites参数中配置了标志16(SAP注意510007)。
问题是对等方正在关闭连接:
[Thr 42792]收到致命的TLS握手失败警报消息 来自同行
您可以设置Isaias注释的sni参数,并尝试根据SAP Note 510007使用推荐的密码套件值。
但是要确定其失败原因,必须检查对等方的跟踪,是否是 NW ABAP也是吗?
您好Pradeep,
(奇怪,我现在只看到通知...)
如果您仍需要帮助,请提供ICM的新2级跟踪记录,该跟踪记录是在模拟问题时收集的。
关于此,
伊萨尼亚语
一周热门 更多>