Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Español - Traducción automática	
Deutsch - Traducción automática English Français (France) - Traducción automática Italiano - Traducción automática 日本語 - Traducción automática 한국어 - Traducción automática Português (Brasil) - Traducción automática Русский - Traducción automática 简体中文 - Traducción automática

Nota de asistencia técnica KB0395063

No se puede conectar a SAP Business Network: error al crear la ruta PKIX

Este artículo de la base de conocimientos ha sido traducido automáticamente para su comodidad. SAP no ofrece ninguna garantía con respecto a la exactitud o integridad de la traducción automática. Puede acceder al contenido original si cambia al inglés mediante el selector de idiomas.

Problema

Escenario de problema:

SAP ECC --> SAP PI --> SAP Business Network

Los clientes están intentando enviar un pedido de compra (PO) de SAP ERP (Enterprise Resource Planning) a SAP Business Network y el PO falla en Process Integration (PI) con el siguiente error.

[Nivel de error] 2[Código de error] ECC103[Descripción del error] Ariba SN no disponible[Mensaje de error] No se puede conectar a Ariba SNcom.ariba.asc.connector.exception.AribaSNException: no se puede conectar con Ariba SN

Causado por: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: error al crear la vía de acceso PKIX: sun.security.provider.certpath.SunCertPathBuilderException: no se puede encontrar una vía de certificación válida para el destino solicitado

Causado por: sun.security.validator.ValidatorException: error en la creación de la vía de acceso PKIX: sun.security.provider.certpath.SunCertPathBuilderException: no se ha encontrado la vía de certificación válida para el destino solicitado
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
en sun.security.validator.PKIXValidator.engineering Validate(PKIXValidator.java:217)
en sun.security.validator.Validator.valid(Validator.java:218)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
en com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
en com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 más

Causado por: sun.security.provider.certpath.SunCertPathBuilderException: no se ha encontrado una vía de certificación válida para el destino solicitado
en sun.security.provider.certpath.SunCertPathBuilder.engineering Build(SunCertPathBuilder.java:174)
en java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

El error "sun.security.provider.certpath.SunCertPathBuilderException: no se ha encontrado una vía de certificación válida para el destino solicitado ..." generalmente significa que la cadena de certificados no está completa. Esto puede ocurrir si no hay ningún certificado raíz de la autoridad de certificación de confianza instalado en el almacén de claves de confianza o si los certificados no están instalados en la vía de acceso correcta.

Solución

Proporcionamos las siguientes sugerencias a los clientes y debemos asegurarnos de:

Que los certificados estén instalados correctamente en el KeyStore de JDK (Java Development Kit) y que el certificado raíz que se utilice sea una autoridad de certificación (CA) válida en la que confía Ariba.
Las CA en las que Ariba confía se pueden encontrar en: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Los certificados relacionados con Ariba y los certificados de terceros proporcionados por las CA deben instalarse en Trust Store View, "TrustedCAs", y la vista Key Store debe tener TODOS los permisos. Ariba siempre recomienda el uso de "TrustedCA" para importar certificados relacionados con Ariba.
La vista de almacén de claves, "TrustedCA", debe mencionarse en el canal de comunicación de integración de procesos (PI).

Además, proporcionamos la siguiente solución, que resolvió el problema.

Los pasos para importar los certificados de seguridad para SAP NetWeaver Adapter son los siguientes:

Descargue el VerisignCerts.zip adjunto al caso y descomprima el contenido. Encontrará dos certificados.
En el servidor de aplicaciones NetWeaver, emita el siguiente comando desde la línea de comandos: echo $JAVA_HOME, que le proporciona la ubicación de su inicio de Java.
1. Vaya a su JAVA_HOME/bin y ejecute el siguiente comando: keytool –list –keystore /jre/lib/security/cacerts. (Esta es la ubicación del almacén de claves en su directorio JAVA_HOME).
2. Este comando debe enumerar un número de certificados en el almacén de claves. Si no existe ninguno, no es el almacén de claves correcto.
3. Si tiene varios certificados, es probable que esta sea la ubicación correcta para importar los certificados nuevos y vaya al siguiente paso.
Emita el siguiente comando para importar los certificados al almacén de claves:
1. Vaya a Java_Home/bin; a continuación, copie VeriSignClass3SecureServerCAG3.der y VeriSignClass3PublicPrimaryCertificationAuthorityG5.der en el directorio bin.
2. En la línea de comandos, introduzca:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Si todo es correcto, le pide una contraseña; la contraseña es "changeit".
4. Repita los pasos a y b para el certificado sst.

A continuación, debe reiniciar el adaptador Ariba XI. Si aún tiene problemas, reinicie el servidor J2EE siguiendo estos pasos:

1. Desde el monitor ICM (Internet Communication Manager), menú Administración, Reiniciar > Sí.
2. Enviar cierre abrupto > Con reinicio.

Información adicional

Preguntas para solucionar problemas de certificados:

¿El valor KeyStore (cacerts) está configurado correctamente en las propiedades de configuración?
¿La vista KeyStore/Trust Store tiene todos los permisos necesarios?
Verifique, valide los certificados y asegúrese de que todos los certificados estén disponibles en TrustedCA. A continuación, pruebe con un pedido/factura.
¿Se están utilizando los certificados más recientes?
¿Funciona correctamente PROD y otros entornos no PROD?
¿Podría comparar las opciones de red, firewall (puertos) y conectividad para el cliente? ¿Ha cambiado algo?
¿Podría, por favor, comprobar si hay algún cambio relacionado con Network-/ Firewall? ¿Se han realizado cambios en el almacén de claves JDK o JVM?
¿Cuándo se envió/recibió el último pedido de compra/factura correcto a AN?
¿Se ha realizado alguna actualización reciente de SAP PI o cualquier otra actualización?
Reinicie el adaptador de SAP Business Network para SAP y realice un reinicio completo de PI si es necesario.

Nota:

1) La actualización de PI/los cambios en el canal de comunicación de PI sobrescribirían la información del certificado, y se recomienda verificar los certificados y las configuraciones después de los upgrades del sistema/SO.

2) Los cambios en la red/firewall también darían lugar al mismo error, y los clientes deben verificar y validar si los certificados se importan, las configuraciones necesarias están en su lugar y los puertos se abren desde SAP PI para conectarse a SAP Business Network.

No se puede conectar a SAP Business Network: error en la creación de la ruta PKIX. docx

26,37 KB

Se aplica a

SAP Business Network for Procurement & Supply Chain