Callback Zertifikate

  • Hallo,

    aktuell haben wir bei einem Kunden Probleme, dass das BRZ die Callback-Nachricht (PDF der Rechnung) per Webservice nicht an den SAP-PI Server zurückmelden kann. Wir bekommen im SAP folgende Fehlermeldung und daher die Rückmeldung per E-Mail:


    [Thr 47562305644864] *** ERROR during SecudeSSL_SessionStart() from SSL_accept()==SSL_ERROR_SSL

    [Thr 47562305644864] session uses PSE file "/usr/sap/KPE/DVEBMGS35/sec/SAPSSLS.pse"

    [Thr 47562305644864] SecudeSSL_SessionStart: SSL_accept() failed

    [Thr 47562305644864] secude_error 536875078 (0x20001046) = "received a fatal SSLv3 certificate unknown alert message from the peer

    [Thr 47562305644864] >> Begin of Secude-SSL Errorstack >>

    [Thr 47562305644864] WARNING in ssl3_read_bytes: (536875078/0x20001046) received a fatal SSLv3 certificate unknown alert message fro

    [Thr 47562305644864] << End of Secude-SSL Errorstack

    [Thr 47562305644864] SSL NI-sock: local=192.168.130.40:8400 peer=85.158.224.54:50488

    [Thr 47562305644864] <<- ERROR: SapSSLSessionStart(sssl_hdl=16ba6880)==SSSLERR_SSL_ACCEPT

    [Thr 47562305644864] *** ERROR => IcmConnInitServerSSL: SapSSLSessionStart returned (-56): SSSLERR_SSL_ACCEPT [icxxconn_mt. 1673]

    Laut Auskunft vom BRZ erhalten Sie folgende Fehlermeldung:


    Failed to invoke WS callback 'https://.....' for internal document ID 'webservice120-3894287149739817-id5169853'

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: Certificates does not conform to algorithm constraints

    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) ~[?:1.8.0_111]

    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1949) ~[?:1.8.0_111]


    Ich habe bereits die gesamte Zertifikats-Kette von https://test.erb.gv.at/ und von https://www.erechnung.gv.at/ am SAP-PI Server des Kundens neu eingespielt, und bekomme noch immer diese Fehlermeldung.
    Es scheint für mich nun so, als ob das BRZ den Public-Key vom SAP-PI-Server-Zertifikat des Kunden nicht akzeptieren würde.

    Hat das BRZ vllt. eine Einschränkung auf eine mindest Verschlüsselung die der Public-Key haben muss? ZB. 1024 oder 2048 bits?

    Bis zum Anfang 2017 hat es problemlos funktioniert.

    Danke für Antworten.

  • Hallo!

    Es schaut so aus, als ob sich unsere Server nicht über einen Algorithmus einigen könnten.
    Möglicherweise liegt es daran, dass ihr Zertifikat MD5withRSA als Signaturalgorithmus verwendet?

    Zitat von https://www.java.com/en/configure_crypto.html :
    [size=22]Disable SHA-1 in certificate chains[/size]
    Any TLS client or server certificate chain containing a SHA-1 certificate (end-entity or intermediate CA) anchored by root CA certificates included in Oracle's JDK will be blocked. These restrictions also apply to signed code (applets and WebStart applications), unless it is timestamped before January 1, 2017. Enterprise/private CAs and self-signed certificates are not affected. See JEP-288 for more information.
    On JDK 9 you can prepare for this change by seeing if you are affected as follows:

    • Edit the java.security file of your JDK installation:
      conf/security/java.security
    • On JDK 9 EA build 128 and higher the jdk.certpath.disabledAlgorithms property will include, by default, "SHA1 jdkCA & denyAfter 2017-01-01"
    • To see if you may be affected for TLS/SSL, remove the "& denyAfter 2017-01-01" from the jdk.certpath.disabledAlgorithms property. For example,
      jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 jdkCA & denyAfter 2017-01-01 would be updated to:
      jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 jdkCA

    To test the restrictions for signed/timestamped JARs, add back the denyAfter

    vg P. Helger

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!