Skip to Content
Author's profile photo Rafael Vieira

SAP PI tool – XPI Inspector

Para os PIs que têm o (excelente) costume de frequentar o fórum SCN PI internacional, talvez esta informação não seja novidade, mas para os muitos GRC/PIs, Abaps, MMs, SDs, etc, envolvidos com NF-e e que recentemente estão tendo que se virar pra responder em seus respectivos clientes/projetos se seus sistemas estão de acordo com as exigências divulgadas pela Sefaz sobre as cifras SSL/HTTPS requeridas para comunicação com os webservices… talvez isso seja algo totalmente novo e assustador.

XPI Inspector é uma aplicação web de diagnósticos desenvolvida pela SAP que coleta logs e debug traces de diversos componentes do PI de forma muito completa, simples e que é, na minha opinião, extremamente útil para consultores, desenvolvedores e administradores do SAP PI. O intuito é que os logs/traces extraídos sejam anexados nos chamados da SAP para auxiliar na análise dos problemas reportados.

Informações sigilosas como chaves privadas de criptografia e senhas não são coletadas pela ferramenta.

Para alguns tipos de verificações (como conexão Client SSL), o XPI Inspector abre conexões genéricas https/ftps para solicitar ao Server SSL remoto. Este é o caso que podemos utilizar para validar o handshake realizado entre servidor PI (Client) e Sefaz (Server) e analisar quais cifras estão de fato sendo utilizadas na negociação e com isso responder as perguntas no projeto like a boss

Esta é a cara do XPI Inspector

xpi_inspector_initial_screen.JPG

Cada tipo, ou modelo de diagnóstico possível executado pelo XPI Inspector é chamado pela SAP como Example (exemplo). Portanto, para a milagrosa evidência do handshake entre PI e Sefaz, deve-se utilizar o Example 11: Authentication, SSL & PP referente a área Login, WSS, SSL, XI Principal Propagation, e preencher alguns parâmetros adicionais (URL, Keystore Entry/View, etc).


Depois de escolhido o exemplo adequado e preenchidos os campos relevantes, basta clicar em Start, executar o seu cenário de diagnóstico (no caso de NF-e, um teste eficaz seria disparar a interface Service Status Check que é rápida e não depende de geração de XML fiscal) e clicar em Stop imediatamente depois da execução da interface ter sido concluída.

A ferramenta exibe o relatório da execução com todas as informações coletadas e um botão de download de um arquivo zip com todos os relatórios extraídos no seu diagnóstico. Em um caso de suporte, você deve anexar este zip na SAP Message para que o especialista possa analisar o problema. No caso de NF-e… você já sabe o que fazer

Instalação do XPI Inspector – Coisa muito simples: pegar o arquivo EAR e fazer deploy na instância Java. Pode-se fazer o deploy direto pelo NWDS utilizando plugin ou via SDM… ou joga no colo do Basis.

Ponto negativo: Como obter o arquivo EAR? Só pedindo pra SAP… ou pra mim, mediante depósito bancário hehehe (brincadeira, claro!).

Deve-se abrir uma SAP Message informando seu problema para que a SAP disponibilize uma URL para baixar o arquivo. O analista da SAP também irá informar qual é o Example que ele quer que seja executado.

A intenção desta publicação não é de ensinar a usar esta ferramenta, e sim apenas de apresentá-la aos que não sabem nem por onde começar no caso de verificar e evidenciar o handshake.

Aqui vai um exemplo de um Example

Example: 11 (Authentication, SSL & PP)


Após o deploy com sucesso, acessar a aplicação via http(s)://<host>:<port>/xpi_inspector

Detalhe: você precisar ter autorização JAVA!!!! como administrador para conseguir acessar o XPI Inspector.


Tela de seleção

Veja que SSL Server URL Address é um parâmetro opcional e deve ser especificado somente se você quiser verificar o ssl handshake com um ssl server remoto e um client local j2ee (que é o caso pra NF-e).

xpi_inspector_main_screen.JPG

Start…

xpi_inspector_waiting.JPG

Execução da interface que comunica com a Sefaz:

status_check.JPG

status_check_result.JPG

…e Stop.


Tela do resultado (verificações realizadas)

xpi_inspector.JPG

Security Providers registrado durante a inspeção.

Certificado SSL Server e seu SSL handshake com client j2ee do PI

Durante esta verificação o XPI Inspector abre conexões genéricas https ou ftps para solicitar o server SSL remoto.

verify_remote_ssl_server_certificate.JPG

E então….. o IAIK debug:

iaik_debug.JPG


Verificando se o certificado do Server ssl é confiável para o Client J2EE.

Verifica configuração de Principal Propagation: Nesta verificação, o XPI Inspector realiza chamadas do JCO ao Integration Server (ABAP) para validar se a confiança SSO2 entre Java Adapter Engine e o ABAP Integration Server

principal_propagation.JPG

Bem legal neh?

Mais informações:

–  SAP Note 1514898 – XPI Inspector for troubleshooting XI

– Documento how_to_inspect.pdf anexo na SAP Note.

– Links:

http://scn.sap.com/community/pi-and-soa-middleware/blog/2013/03/22/xpi-inspector

http://scn.sap.com/community/pi-and-soa-middleware/blog/2012/01/12/michals-pi-tips-xpi-inspector–help-oss-and-yourself

Assigned Tags

      11 Comments
      You must be Logged on to comment or reply to a post.
      Author's profile photo Ricardo Viana
      Ricardo Viana

      Boa garoto ! Elite !!

      Perfeito para saber a versão do iSaSilk do PI para comunicações SSL.

      Parabéns Rafael

      Author's profile photo Rafael Vieira
      Rafael Vieira
      Blog Post Author

      Valeu Jack!

      Vamos ver se isso ajuda alguém... rs

      Author's profile photo Former Member
      Former Member

      Parabéns Rafael! Ficou legal!!!  😉

      Author's profile photo Former Member
      Former Member

      Desculpe a minha pergunta... não ficou claro pra mim o ponto abaixo quando você solicita o EAR via os message...

      "O analista da SAP também irá informar qual é o Example que ele quer que seja executado"


      A instalação não é única? Você precisa de um EAR específico dependendo do que você quer analisar?

      Abraço

      Eduardo Chagas

      Author's profile photo Rafael Vieira
      Rafael Vieira
      Blog Post Author

      Não Chagas, é um EAR único pra fazer deploy da aplicação como um todo.

      Mas a ferramenta tem diversas opções (examples) e cada um valida pontos diferentes.

      Quando vc abre um chamado reportando um problema de erro SSL, o analista da SAP vai pedir pra que vc execute o Example 11 e anexe o zip no chamado.

      Se vc reportar um erro de performance, o analista vai pedir pra vc executar o Example 51 e anexar o zip, etc.

      Algo do tipo: "Instale o EAR e execute o example 11 e anexe o zip aqui no chamado"

      Author's profile photo Former Member
      Former Member

      Beleza! Obrigado pela informação! abraço

      Author's profile photo Former Member
      Former Member

      Top Rafa! Um mês de pesquisa no mínimo!rsrsrs

      Author's profile photo Rafael Vieira
      Rafael Vieira
      Blog Post Author

      Valeu man... foi um tempão mesmo no site dos desenvolvedores do componente kkk

      Author's profile photo Tiago Aust
      Tiago Aust

      Show Rafa! ótimo por compartilhar!

      Author's profile photo Rafael Vieira
      Rafael Vieira
      Blog Post Author

      Valeu Aust !!

      Author's profile photo Rogério Coimbra de Oliveira
      Rogério Coimbra de Oliveira

      Excelente!