Support-Hinweis KB0395063
E-Mail
Verbindung zu SAP Business Network kann nicht hergestellt werden - PKIX-Pfaderstellung fehlgeschlagen
Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.
Problem

Problemszenario:

SAP ECC --> SAP PI --> SAP Business Network

Kunden versuchen, eine Bestellung von SAP ERP (Enterprise Resource Planning) an SAP Business Network zu senden, und die Bestellung schlägt in Process Integration (PI) mit dem folgenden Fehler fehl:

[Fehlerstufe] 2[Fehlercode] ECC103[Fehlerbeschreibung] Ariba SN nicht verfügbar[Fehlermeldung] Verbindung zu Ariba SNcom.ariba.asc.connector.exception.AribaSNException kann nicht hergestellt werden: Verbindung zu Ariba SN kann nicht hergestellt werden

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: cannot to find valid certificate path to request target


Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: cannot to find valid certificate path to request target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.validate(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 mehr


Caused by: sun.security.provider.certpath.SunCertPathBuilderException: cannot to find valid certificate path to request target
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Ursache

Der Fehler "sun.security.provider.certpath.SunCertPathBuilderException: cannot to find valid certificate path to request target ..." bedeutet in der Regel, dass die Zertifikatskette nicht vollständig ist. Dies kann auftreten, wenn im vertrauenswürdigen Keystore kein Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle installiert ist oder die Zertifikate nicht im richtigen Pfad installiert sind.

Lösung

Wir haben den Kunden folgende Vorschläge unterbreitet, und wir müssen sicherstellen:

  1. Dass die Zertifikate ordnungsgemäß im JDK (Java Development Kit) KeyStore installiert sind und das verwendete Stammzertifikat eine gültige Zertifizierungsstelle (Certificate Authority, CA) ist, der Ariba vertraut.
  2. Die Zertifizierungsstellen, denen Ariba vertraut, finden Sie unter: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
  3. Ariba-bezogene Zertifikate und Drittanbieterzertifikate, die von CAs bereitgestellt werden, müssen in der Trust-Store-Ansicht, "TrustedCAs" installiert werden, und die Keystore-Sicht muss über ALLE Berechtigungen verfügen. Ariba empfiehlt immer die Verwendung von "TrustedCAs", um Ariba-bezogene Zertifikate zu importieren.
  4. Die Keystore-Sicht "TrustedCAs" muss im PI-Kommunikationskanal (Process Integration) angegeben werden.

Darüber hinaus haben wir die folgende Lösung bereitgestellt, die das Problem behebt.

Führen Sie die folgenden Schritte aus, um die Sicherheitszertifikate für den SAP-NetWeaver-Adapter zu importieren:

  1. Laden Sie die dem Fall beigefügte Datei VerisignCerts.zip herunter, und entpacken Sie den Inhalt. Sie finden zwei Zertifikate.
  2. Geben Sie auf dem SAP-NetWeaver-Anwendungsserver den folgenden Befehl aus der Befehlszeile aus: echo $JAVA_HOME, der Ihnen den Speicherort Ihres Java-Home gibt.


    1. Navigieren Sie zu JAVA_HOME/bin, und geben Sie den folgenden Befehl ein: keytool –list –keystore /jre/lib/security/cacerts. (Dies ist der Speicherort des Keystores in Ihrem JAVA_HOME-Verzeichnis.)
    2. Dieser Befehl sollte eine Reihe von Zertifikaten im Keystore auflisten. Wenn keine vorhanden sind, ist dies nicht der richtige Keystore.
    3. Wenn mehrere Zertifikate vorhanden sind, ist dies wahrscheinlich der richtige Speicherort, um die neuen Zertifikate zu importieren und mit dem nächsten Schritt fortzufahren.


  3. Geben Sie den folgenden Befehl ein, um die Zertifikate in den Keystore zu importieren:


    1. Navigieren Sie zu Java_Home/bin, und kopieren Sie dann VeriSignClass3SecureServerCAG3.der und VeriSignClass3PublicPrimaryCertificationAuthorityG5.der in das bin-Verzeichnis.
    2. Geben Sie in der Befehlszeile Folgendes ein:

      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts

    3. Wenn alles korrekt ist, werden Sie zur Eingabe eines Kennworts aufgefordert; das Kennwort lautet "changeit".
    4. Wiederholen Sie die Schritte a und b für das Zertifikat sst.

Als Nächstes müssen Sie den Ariba-XI-Adapter neu starten. Wenn Sie weiterhin Probleme haben, starten Sie den J2EE-Server neu, indem Sie die folgenden Schritte ausführen:

    1. Im ICM (Internet Communication Manager) Monitor, Admin-Menü, Neustart > Ja.
    2. Hard-Shutdown senden > Mit Neustart.

Zusätzliche Informationen

Fragen zur Behebung von Zertifikatsproblemen:

  1. Ist der Keystore-Wert (cacerts) in den Konfigurationseigenschaften korrekt konfiguriert?
  2. Verfügen die KeyStore-/Truststore-Sicht über alle erforderlichen Berechtigungen?
  3. Prüfen, validieren Sie die Zertifikate, und stellen Sie sicher, dass alle Zertifikate in TrustedCAs verfügbar sind. Versuchen Sie anschließend, mit einem Bestellauftrag oder einer Rechnung zu testen.
  4. Werden die neuesten Zertifikate verwendet?
  5. Funktioniert PROD und andere Nicht-PROD-Umgebungen ordnungsgemäß?
  6. Könnten Sie bitte die Netzwerk-, (Ports-)Firewall- und Konnektivitätseinstellungen für den Kunden vergleichen? Hat sich etwas geändert?
  7. Könnten Sie bitte prüfen, ob Netzwerk-/Firewall-bezogene Änderungen vorhanden sind? Wurden Änderungen am JDK-Keystore oder an der JVM vorgenommen?
  8. Wann wurde der letzte erfolgreiche Bestellauftrag/die letzte erfolgreiche Rechnung an Ariba Network gesendet/von Ariba Network empfangen?
  9. Wurden kürzlich ein SAP-PI-Upgrade oder andere Upgrades durchgeführt?
  10. Starten Sie den SAP-Business-Network-Adapter für SAP neu, und führen Sie bei Bedarf einen vollständigen PI-Neustart durch.

Hinweis:

1) PI-Upgrade/-Änderungen im PI-Kommunikationskanal würden die Zertifikatsinformationen überschreiben, und es ist ratsam, die Zertifikate und Konfigurationen nach System-/BS-Upgrades zu prüfen.

2) Änderungen im Netzwerk/in der Firewall führen ebenfalls zu demselben Fehler, und Kunden müssen prüfen und validieren, ob die Zertifikate importiert, die erforderlichen Konfigurationen vorhanden sind und Ports von SAP PI geöffnet werden, um eine Verbindung zu SAP Business Network herzustellen.

Verbindung zu SAP Business Network kann nicht hergestellt werden - PKIX-Pfaderstellung fehlgeschlagen. docx26,37 KB

Gilt für

SAP Business Network for Procurement und Supply Chain

Nutzungsbedingungen  |  Copyright  |  Sicherheitsrichtlinie  |  Vertraulichkeit