点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
最近我们的证书已过期并安装了新的TLS,MLS证书。
在安装新证书(TLS,MLS)后,RFC场景的SOAP不能正常工作,这在较早之前就可以正常工作,因为AS2场景对于使用同一伙伴使用这些新证书的TLS和MLS都可以正常工作,而AS2也可以与其他伙伴一起工作 好吧。
合作伙伴在实现RFC方案的过程中遇到了错误
CXF出站请求中发生错误:StartTime = Thu Aug 02 06:43:07.729 UTC 2018 Status = FAILED ChildCount = 36 Error =端点在https://host:port/XISOAPAdapter/MessageServlet?channel上的出站处理 与HTTPS://host:port/XISOAPAdapter/MessageServlet通讯时,由" HTTPException:HTTP 响应'401:Unauthorized "引起的= businessservice:channelname失败,并显示消息"故障:无法发送消息。" ?channel = businessservice:channelname
channel =:businessservice:channelname" ModelStepId = MessageFlow_2
请提出建议
致谢
Pavan Kumar
Pavan,
最好的问候,
汤姆
嗨,汤姆,
更改了哪个证书? PI SSL服务器证书? 或发件人客户证书?
PI SSL证书已更改,用于签名和解密的mls证书也已更改
您可以检查ICM跟踪以检查SSL握手的详细信息,以及xpi inspector/tshw跟踪以在Java服务器节点上进行身份验证。
负载平衡器(例如WDP)可能会影响SSL场景(例如SSL终止等)。
不涉及负载均衡器,已采取ICM跟踪,但基于该跟踪信息无法确定确切的问题,并且我们的xpi检查器在尝试收集跟踪时不起作用,它正在启动,立即停止并生成0 kb xpi跟踪文件 (尝试取消部署并部署),我们的tshw下面也有一些错误,这是tshw中错误的屏幕。
ICM跟踪
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:ClientHello:客户端请求恢复会话[ssl3_check_session_resumability]
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:在缓存中找不到客户端会话。 执行完整的握手。 [ssl3_check_session_resumability]
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:正在发送ServerHello版本3.3。 (TLSv1.2)[ssl3_send_server_hello]
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:ServerHello:协议版本:3.3。 [ssl3_send_server_hello]
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:ServerHello:协商的密码套件为TLS_RSA_WITH_AES128_GCM_SHA256 [ssl3_send_server_hello] [Thr 140171408381696] CCL [SSL]:Srv-0000816F:发送自己的证书[s3] [SSL]:Srv-0000816F:自己的TLS证书:
[Thr 140171408381696] CCL [SSL]:Srv-0000816F:收到的类型为"证书"的消息,其中不包含证书。 [Thr 140171408381696]放弃客户端身份验证:验证模式:1
请提出建议
致谢
Pavan
嗨,汤姆·邢,
感谢您的答复,
在我们的pi证书tls和mls过期之前,我们已经安装了新证书,并且还共享了新证书,此接口可以正常工作
成为合作伙伴,然后在我们实现这一期望之后。
是的,它是受信任的,是的,我们的合作伙伴证书已映射到用户,并且它没有更改,因此我们保持不变。
我不确定在这里需要完成哪些配置,请告诉我们
致谢
Pavan
嗨Pravan,
根据您附加给事件的ICM跟踪,看来ICM仅信任1个CA,您可以参考以下跟踪:
为客户端身份验证提供1个受信任的CA:
CA <0>:CN = DigiCert全局根CA,OU = 视图。 如果可以确保已导入证书,则还应该重新启动ICM。 我们期望看到ICM为客户端身份验证提供2个受信任的CA。
此外,请根据ICM跟踪检查ICM的VCLIENT配置文件参数
https://help.sap .com/saphelp_nwpi711/helpdata/zh/48/3ae05299c172d0e10000000a42189c/frameset.htm
您似乎已配置了验证模式:1
CCL [SSL]:Srv-000081A6:收到的类型为"证书"的消息不包含证书。
放弃客户端身份验证:验证模式:1
1:表示服务器要求客户端传输证书。 如果客户端不发送证书,则通过其他方法进行身份验证,例如基本身份验证(默认设置)。
在您的情况下,客户端证书不会发送到PI,而是通过其他方法(例如,基本身份验证(默认设置))进行身份验证。 因此,我认为用户密码可能存在问题。 您可以检查这一点。 关于为什么客户端不发送证书,一个可能的原因是ICM没有提供已颁发X.509客户端证书的CA(证书颁发机构)的根证书(以及可能的所有中间证书)。
最诚挚的问候,
Ray
嗨,Ray
这里的客户是SAP ICH,服务器是我们的SAP PI System。 VERIFY_CLIENT参数已经设置为" 1",但是在我们更新证书并将新的证书集安装到STRUST中之前,此参数可以正常工作。
您要讨论的证书是PI Server证书[CA <0>:CN = DigiCert全局根CA,OU =
将合作伙伴证书导入密钥存储区STRUST-> SSL Standard后问题已解决,但由于我们尚未导入合作伙伴证书,因此不确定它以前如何工作