这种SSL握手失败的情况我在SAP项目里碰到过好多次，结合你描述的场景——API换了新URL和DNS，改完SM59后出问题，咱们一步步来定位解决：

1. 重新导入新API服务器的完整证书链 #

你之前导入的是旧站点的证书，新URL对应的服务器证书肯定不一样了，这是最常见的坑：

• 先用浏览器访问新API的URL，导出完整的证书链（别只导服务器证书，要包含根CA和中间CA证书，不然SAP系统会因为证书不被信任拒绝握手）；
• 登录SAP系统，打开STRUST事务码，找到你之前配置的SSL Client Anonymous客户端身份，把新的证书链导入到对应的“Certificate List”存储区，导入后记得点击左上角的激活配置按钮。

2. 核对SM59连接的SSL配置细节 #

打开修改后的SM59 HTTP连接，切换到「SSL」标签页，逐一检查：

• 确认「SSL Client」选项选的是你刚更新过证书的SSL Client Anonymous；
• 检查「SSL Protocol」是否兼容新服务器：很多新API服务器会禁用旧的SSLv3/TLS1.0，尽量选TLS1.2或TLS1.3（注意SAP系统版本要支持，比如NetWeaver 7.4及以上才支持TLS1.2）；
• 别漏了*Server Name Indication (SNI)*选项：如果新API是云服务托管的，多个域名共用一个IP的情况很常见，必须勾选SNI才能让服务器识别到你要访问的具体站点，没开这个大概率会握手失败。

3. 验证SAP服务器端的DNS解析是否正常 #

改了SM59的主机名，但要确保SAP应用服务器本身能正确解析新域名：

• 登录SAP服务器的操作系统（Windows用CMD，Linux用Shell），执行nslookup 新API域名或者ping 新API域名，看返回的IP是否和新API服务器的官方IP一致；
• 检查服务器的本地hosts文件（Windows是C:\Windows\System32\drivers\etc\hosts，Linux是/etc/hosts），有没有残留的旧域名-IP映射，要是有的话删掉再测试。

4. 抓取SSL握手的详细日志定位根因 #

如果前面的步骤都没解决，就需要看具体的错误日志：

• 用ST01事务码开启SSL和HTTP相关的跟踪（在跟踪选项里勾选「SSL」和「HTTP」类别），然后再执行SM59的连接测试，停止跟踪后查看日志，里面会明确写握手失败的原因（比如证书过期、协议不匹配、CA不被信任等）；
• 也可以用SAP自带的sapsslcli工具在服务器端直接测试，执行命令：sapsslcli -connect 新API域名:端口 -sslclient SSL_CLIENT_ANONYMOUS，这个命令会输出完整的SSL握手过程，能快速找到问题点。

5. 检查SAP系统的SSL补丁和版本兼容性 #

如果新API服务器用了较新的加密算法（比如SHA-256以上的哈希算法、TLS1.3），你的SAP系统可能需要更新补丁：

• 参考SAP Note 2513416（SSL/TLS Protocol Support in SAP NetWeaver），确认你的系统版本支持的协议和加密算法是否匹配新服务器的要求，要是不匹配就需要升级对应的SSL补丁。

内容的提问来源于stack exchange，提问作者mr deadsven