Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis KB0395063

Verbindung zu SAP Business Network kann nicht hergestellt werden - PKIX-Pfaderstellung fehlgeschlagen

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Problem

Problemszenario:

SAP ECC --> SAP PI --> SAP Business Network

Kunden versuchen, eine Bestellung von SAP ERP (Enterprise Resource Planning) an SAP Business Network zu senden, und die Bestellung schlägt in Process Integration (PI) mit dem folgenden Fehler fehl:

[Fehlerstufe] 2[Fehlercode] ECC103[Fehlerbeschreibung] Ariba SN nicht verfügbar[Fehlermeldung] Verbindung zu Ariba SNcom.ariba.asc.connector.exception.AribaSNException: Verbindung zu Ariba SN kann nicht hergestellt werden

Ursächlich: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX-Pfadbildung fehlgeschlagen: sun.security.provider.certpath.SunCertPathBuilderException: konnte keinen gültigen Zertifizierungspfad zum angeforderten Ziel finden

Ursächlich: sun.security.validator.ValidatorException: PKIX-Pfadbildung fehlgeschlagen: sun.security.provider.certpath.SunCertPathBuilderException: konnte keinen gültigen Zertifizierungspfad zum angeforderten Ziel finden
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.valid(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 weitere

Ursache: sun.security.provider.certpath.SunCertPathBuilderException: Es konnte kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden werden
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Ursache

Der Fehler "sun.security.provider.certpath.SunCertPathBuilderException: cannot to find valid certificate path to Requested target ..." bedeutet in der Regel, dass die Zertifikatskette nicht vollständig ist. Dies kann auftreten, wenn im Trusted Key Store kein Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle installiert ist oder die Zertifikate nicht auf dem richtigen Pfad installiert sind.

Lösung

Wir haben den Kunden die folgenden Vorschläge unterbreitet und müssen sicherstellen:

dass die Zertifikate ordnungsgemäß im JDK (Java Development Kit) KeyStore installiert sind und das verwendete Stammzertifikat eine gültige Zertifizierungsstelle (Certificate Authority, CA) ist, der Ariba vertraut.
Die CAs, denen Ariba vertraut, finden Sie unter: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Ariba-bezogene Zertifikate und Drittanbieterzertifikate, die von Zertifizierungsstellen bereitgestellt werden, müssen in der Trust-Store-Ansicht, in der TrustedCAs und in der Keystore-Ansicht installiert werden, und die Keystore-Ansicht muss ALLE Berechtigungen haben. Ariba empfiehlt immer die Verwendung von „TrustedCAs“, um Ariba-bezogene Zertifikate zu importieren.
Die Keystore-Sicht "TrustedCAs" muss im Kommunikationskanal von Process Integration (PI) erwähnt werden.

Darüber hinaus haben wir die folgende Lösung bereitgestellt, die das Problem behoben hat.

Führen Sie die folgenden Schritte aus, um die Sicherheitszertifikate für den SAP-NetWeaver-Adapter zu importieren:

Laden Sie VerisignCerts.zip herunter, das dem Fall beigefügt ist, und entpacken Sie den Inhalt. Sie finden zwei Zertifikate.
Geben Sie auf dem SAP-NetWeaver-Anwendungsserver den folgenden Befehl aus der Befehlszeile: echo $JAVA_HOME aus, der Ihnen den Speicherort Ihres Java-Home anzeigt.
1. Gehen Sie zu Ihrem JAVA_HOME/bin und geben Sie den folgenden Befehl aus: keytool –list –keystore /jre/lib/security/cacerts. (Dies ist der Speicherort des Keystores in Ihrem JAVA_HOME-Verzeichnis.)
2. Dieser Befehl sollte eine Reihe von Zertifikaten im Keystore auflisten. Wenn kein Schlüsselspeicher vorhanden ist, ist dies nicht der richtige Keystore.
3. Wenn es mehrere Zertifikate hat, ist dies wahrscheinlich der richtige Ort, um die neuen Zertifikate zu importieren, und fahren Sie mit dem nächsten Schritt fort.
Geben Sie den folgenden Befehl aus, um die Zertifikate in den Keystore zu importieren:
1. Navigieren Sie zu Java_Home/bin, und kopieren Sie dann VeriSignClass3SecureServerCAG3.der und VeriSignClass3PublicPrimaryCertificationAuthorityG5.der in das Verzeichnis bin.
2. Geben Sie in die Befehlszeile Folgendes ein:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Wenn alles korrekt ist, werden Sie zur Eingabe eines Kennworts aufgefordert; das Kennwort lautet "changeit".
4. Wiederholen Sie die Schritte a und b für das SST-Zertifikat.

Als Nächstes müssen Sie den Ariba-XI-Adapter neu starten. Wenn weiterhin Probleme auftreten, starten Sie den J2EE-Server neu, indem Sie die folgenden Schritte ausführen:

1. Aus dem ICM (Internet Communication Manager) Monitor, Admin-Menü, Neustart > Ja.
2. Hard-Shutdown senden > Mit Neustart.

Zusätzliche Informationen

Fragen zur Behebung von Zertifikatsproblemen:

Ist der KeyStore-Wert (cacerts) in den Konfigurationseigenschaften ordnungsgemäß konfiguriert?
Verfügt die KeyStore-/Trust-Store-Ansicht über alle erforderlichen Berechtigungen?
Prüfen und validieren Sie die Zertifikate, und stellen Sie sicher, dass alle Zertifikate in TrustedCAs verfügbar sind. Testen Sie anschließend mit einem Bestellauftrag/einer Rechnung.
Werden die neuesten Zertifikate verwendet?
Funktioniert PROD und andere Nicht-PROD-Umgebungen ordnungsgemäß?
Könnten Sie bitte die Netzwerk-, (Port-)Firewall- und Konnektivitätseinstellungen für den Kunden vergleichen? Hat sich etwas geändert?
Könnten Sie bitte prüfen, ob es Network-/Firewall-bezogene Änderungen gibt? Hat sich der JDK-Keystore oder die JVM geändert?
Wann wurde der letzte erfolgreiche Bestellauftrag/die letzte erfolgreiche Rechnung an Ariba Network gesendet/von Ariba Network empfangen?
Wurden kürzlich ein SAP-PI-Upgrade oder andere Upgrades durchgeführt?
Starten Sie den SAP-Business-Network-Adapter für SAP neu, und führen Sie bei Bedarf einen vollständigen PI-Neustart durch.

Hinweis:

1) PI-Upgrade/Änderungen im PI-Kommunikationskanal würden die Zertifikatsinformationen überschreiben, und es ist ratsam, die Zertifikate und Konfigurationen nach System-/Betriebssystem-Upgrades zu prüfen.

2) Änderungen in Network/Firewall führen ebenfalls zu demselben Fehler, und Kunden müssen prüfen und validieren, ob die Zertifikate importiert wurden, die erforderlichen Konfigurationen vorhanden sind und Ports von SAP PI geöffnet werden, um eine Verbindung zu SAP Business Network herzustellen.

Verbindung zu SAP Business Network kann nicht hergestellt werden - PKIX-Pfadbildung fehlgeschlagen. docx

26,37 KB

Gilt für

SAP Business Network for Procurement und Supply Chain