Para os PIs que têm o (excelente) costume de frequentar o fórum SCN PI internacional, talvez esta informação não seja novidade, mas para os muitos GRC/PIs, Abaps, MMs, SDs, etc, envolvidos com NF-e e que recentemente estão tendo que se virar pra responder em seus respectivos clientes/projetos se seus sistemas estão de acordo com as exigências divulgadas pela Sefaz sobre as cifras SSL/HTTPS requeridas para comunicação com os webservices… talvez isso seja algo totalmente novo e assustador.

XPI Inspector é uma aplicação web de diagnósticos desenvolvida pela SAP que coleta logs e debug traces de diversos componentes do PI de forma muito completa, simples e que é, na minha opinião, extremamente útil para consultores, desenvolvedores e administradores do SAP PI. O intuito é que os logs/traces extraídos sejam anexados nos chamados da SAP para auxiliar na análise dos problemas reportados.

Informações sigilosas como chaves privadas de criptografia e senhas não são coletadas pela ferramenta.

Para alguns tipos de verificações (como conexão Client SSL), o XPI Inspector abre conexões genéricas https/ftps para solicitar ao Server SSL remoto. Este é o caso que podemos utilizar para validar o handshake realizado entre servidor PI (Client) e Sefaz (Server) e analisar quais cifras estão de fato sendo utilizadas na negociação e com isso responder as perguntas no projeto like a boss

Esta é a cara do XPI Inspector

xpi_inspector_initial_screen.JPG

Cada tipo, ou modelo de diagnóstico possível executado pelo XPI Inspector é chamado pela SAP como Example (exemplo). Portanto, para a milagrosa evidência do handshake entre PI e Sefaz, deve-se utilizar o Example 11: Authentication, SSL & PP referente a área Login, WSS, SSL, XI Principal Propagation, e preencher alguns parâmetros adicionais (URL, Keystore Entry/View, etc).


Depois de escolhido o exemplo adequado e preenchidos os campos relevantes, basta clicar em Start, executar o seu cenário de diagnóstico (no caso de NF-e, um teste eficaz seria disparar a interface Service Status Check que é rápida e não depende de geração de XML fiscal) e clicar em Stop imediatamente depois da execução da interface ter sido concluída.

A ferramenta exibe o relatório da execução com todas as informações coletadas e um botão de download de um arquivo zip com todos os relatórios extraídos no seu diagnóstico. Em um caso de suporte, você deve anexar este zip na SAP Message para que o especialista possa analisar o problema. No caso de NF-e… você já sabe o que fazer

Instalação do XPI Inspector – Coisa muito simples: pegar o arquivo EAR e fazer deploy na instância Java. Pode-se fazer o deploy direto pelo NWDS utilizando plugin ou via SDM… ou joga no colo do Basis.

Ponto negativo: Como obter o arquivo EAR? Só pedindo pra SAP… ou pra mim, mediante depósito bancário hehehe (brincadeira, claro!).

Deve-se abrir uma SAP Message informando seu problema para que a SAP disponibilize uma URL para baixar o arquivo. O analista da SAP também irá informar qual é o Example que ele quer que seja executado.

A intenção desta publicação não é de ensinar a usar esta ferramenta, e sim apenas de apresentá-la aos que não sabem nem por onde começar no caso de verificar e evidenciar o handshake.

Aqui vai um exemplo de um Example

Example: 11 (Authentication, SSL & PP)


Após o deploy com sucesso, acessar a aplicação via http(s)://<host>:<port>/xpi_inspector

Detalhe: você precisar ter autorização JAVA!!!! como administrador para conseguir acessar o XPI Inspector.


Tela de seleção

Veja que SSL Server URL Address é um parâmetro opcional e deve ser especificado somente se você quiser verificar o ssl handshake com um ssl server remoto e um client local j2ee (que é o caso pra NF-e).

xpi_inspector_main_screen.JPG

Start…

xpi_inspector_waiting.JPG

Execução da interface que comunica com a Sefaz:

status_check.JPG

status_check_result.JPG

…e Stop.


Tela do resultado (verificações realizadas)

xpi_inspector.JPG

Security Providers registrado durante a inspeção.

Certificado SSL Server e seu SSL handshake com client j2ee do PI

Durante esta verificação o XPI Inspector abre conexões genéricas https ou ftps para solicitar o server SSL remoto.

verify_remote_ssl_server_certificate.JPG

E então….. o IAIK debug:

iaik_debug.JPG


Verificando se o certificado do Server ssl é confiável para o Client J2EE.

Verifica configuração de Principal Propagation: Nesta verificação, o XPI Inspector realiza chamadas do JCO ao Integration Server (ABAP) para validar se a confiança SSO2 entre Java Adapter Engine e o ABAP Integration Server

principal_propagation.JPG

Bem legal neh?

Mais informações:

–  SAP Note 1514898 – XPI Inspector for troubleshooting XI

– Documento how_to_inspect.pdf anexo na SAP Note.

– Links:

http://scn.sap.com/community/pi-and-soa-middleware/blog/2013/03/22/xpi-inspector

http://scn.sap.com/community/pi-and-soa-middleware/blog/2012/01/12/michals-pi-tips-xpi-inspector–help-oss-and-yourself

To report this post you need to login first.

10 Comments

You must be Logged on to comment or reply to a post.

    1. Eduardo Chagas

      Desculpe a minha pergunta… não ficou claro pra mim o ponto abaixo quando você solicita o EAR via os message…

      “O analista da SAP também irá informar qual é o Example que ele quer que seja executado”


      A instalação não é única? Você precisa de um EAR específico dependendo do que você quer analisar?

      Abraço

      Eduardo Chagas

      (0) 
      1. Rafael Vieira Post author

        Não Chagas, é um EAR único pra fazer deploy da aplicação como um todo.

        Mas a ferramenta tem diversas opções (examples) e cada um valida pontos diferentes.

        Quando vc abre um chamado reportando um problema de erro SSL, o analista da SAP vai pedir pra que vc execute o Example 11 e anexe o zip no chamado.

        Se vc reportar um erro de performance, o analista vai pedir pra vc executar o Example 51 e anexar o zip, etc.

        Algo do tipo: “Instale o EAR e execute o example 11 e anexe o zip aqui no chamado”

        (0) 

Leave a Reply