Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Español - Traducción automática	
Deutsch - Traducción automática English Français (France) - Traducción automática Italiano - Traducción automática 日本語 - Traducción automática 한국어 - Traducción automática Português (Brasil) - Traducción automática Русский - Traducción automática 简体中文 - Traducción automática

Nota de asistencia técnica KB0395063

No se puede conectar a SAP Business Network - Error al crear ruta PKIX

Este artículo de la base de conocimientos ha sido traducido automáticamente para su comodidad. SAP no ofrece ninguna garantía con respecto a la exactitud o integridad de la traducción automática. Puede acceder al contenido original si cambia al inglés mediante el selector de idiomas.

Problema

Escenario de problema:

SAP ECC --> SAP PI --> SAP Business Network

Los clientes están intentando enviar un pedido (PO) de SAP ERP (Enterprise Resource Planning) a SAP Business Network y el pedido falla en Process Integration (PI) con el siguiente error.

[Nivel de error] 2[Código de error] ECC103[Descripción del error] Ariba SN no disponible[Mensaje de error] No se puede conectar a Ariba SNcom.ariba.asc.connector.exception.AribaSNException: No se puede conectar a Ariba SN

Causado por: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: Falló la creación de la ruta PKIX: sun.security.provider.certpath.SunCertPathBuilderException: no se pudo encontrar una ruta de certificación válida al destino solicitado

Causado por: sun.security.validator.ValidatorException: Falló la creación de la ruta PKIX: sun.security.provider.certpath.SunCertPathBuilderException: no se puede encontrar una ruta de certificación válida al destino solicitado
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
en sun.security.validator.PKIXValidator.ingeniValidate(PKIXValidator.java:217)
en sun.security.validator.Validator.valid(Validator.java:218)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
en com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 más

Causado por: sun.security.provider.certpath.SunCertPathBuilderException: no se puede encontrar una ruta de certificación válida al destino solicitado
at sun.security.provider.certpath.SunCertPathBuilder.ingeniBuild(SunCertPathBuilder.java:174)
en java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

El error "sun.security.provider.certpath.SunCertPathBuilderException: no es posible encontrar una ruta de certificación válida al destino solicitado ..." generalmente significa que la cadena de certificados no está completa. Esto puede ocurrir si no hay ningún certificado raíz de la autoridad de certificación de confianza instalado en el almacén de claves de confianza o si los certificados no están instalados en la ruta correcta.

Solución

Proporcionamos las siguientes sugerencias a los clientes y debemos asegurarnos de que:

Que los certificados están instalados correctamente en el KeyStore JDK (Java Development Kit) y que el certificado raíz que se está utilizando es una autoridad de certificación (CA) válida en la que confía Ariba.
Las CA en las que confía Ariba se pueden encontrar en: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Los certificados relacionados con Ariba y los certificados de terceros proporcionados por CA deben instalarse en la vista Trust Store, "TrustedCAs", y la vista Almacén de claves debe tener TODOS los permisos. Ariba siempre recomienda el uso de "TrustedCAs" para importar certificados relacionados con Ariba.
La vista del almacén de claves, "TrustedCAs", debe mencionarse en el canal de comunicación de Process Integration (PI).

Además, proporcionamos la siguiente solución, que resolvió el problema.

Los pasos para importar los certificados de seguridad para SAP NetWeaver Adapter son los siguientes:

Descargue el VerisignCerts.zip adjunto al caso y descomprima el contenido. Encontrará dos certificados.
En el servidor de aplicaciones de NetWeaver, envíe el siguiente comando desde la línea de comandos: echo $JAVA_HOME, que le proporciona la ubicación de su página de inicio de Java.
1. Vaya a su JAVA_HOME/bin y emita el siguiente comando: keytool –list –keystore /jre/lib/security/cacerts. (Esta es la ubicación del almacén de claves en su directorio JAVA_HOME).
2. Este comando debe enumerar un número de certificados en el almacén de claves. Si no existe ninguno, no es el almacén de claves correcto.
3. Si tiene varios certificados, es probable que esta sea la ubicación correcta para importar los certificados nuevos y vaya al siguiente paso.
Emita el siguiente comando para importar los certificados al almacén de claves:
1. Vaya a Java_Home/bin; a continuación, copie VeriSignClass3SecureServerCAG3.der y VeriSignClass3PublicPrimaryCertificationAuthorityG5.der en el directorio bin.
2. En la línea de comandos, introduzca:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Si todo es correcto, le solicita una contraseña; la contraseña es "changeit".
4. Repita los pasos a y b para el certificado sst.

A continuación, debe reiniciar el adaptador Ariba XI. Si aún tiene problemas, reinicie el servidor J2EE siguiendo estos pasos:

1. Desde el Monitor ICM (Internet Communication Manager), menú Admin, Reiniciar > Sí.
2. Enviar cierre abrupto > Con reinicio.

Información adicional

Preguntas para solucionar problemas de certificados:

¿El valor KeyStore (cacerts) está configurado correctamente en las propiedades de configuración?
¿La vista KeyStore/Trust Store tiene todos los permisos necesarios?
Verifique, valide los Certificados y asegúrese de que todos los Certificados estén disponibles en TrustedCAs. A continuación, intente realizar pruebas con un pedido/factura.
¿Se están utilizando los certificados más recientes?
¿Funcionan correctamente PROD y otros entornos no PROD?
¿Podría comparar la red, el cortafuegos (puertos) y la configuración de conectividad para el cliente? ¿Ha cambiado algo?
¿Podría, por favor, comprobar si hay algún cambio relacionado con la red o Firewall? ¿Se han producido cambios en el almacén de claves JDK o en JVM?
¿Cuándo se envió a AN/se recibió de AN la última orden de compra/factura correcta?
¿Se ha realizado alguna actualización reciente de SAP PI o cualquier otra actualización?
Reinicie el adaptador de SAP Business Network para SAP y realice un reinicio de PI completo si es necesario.

Nota:

1) La actualización/modificaciones de PI en el canal de comunicación de PI sobrescribirían la información del certificado y se recomienda verificar los certificados y las configuraciones después de las actualizaciones del sistema/sistema operativo.

2) Los cambios en la red/firewall también darían lugar al mismo error, y los clientes deben verificar y validar si se importan los certificados, si se implementan las configuraciones necesarias y si se abren los puertos desde SAP PI para conectarse a SAP Business Network.

No se puede conectar a SAP Business Network: error al crear la ruta PKIX. docx

26,37 KB

Se aplica a

SAP Business Network for Procurement & Supply Chain