Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance KB0395063

Impossible de se connecter à SAP Business Network - Échec de la création du chemin PKIX

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Problème

Scénario de problème :

SAP ECC --> SAP PI --> SAP Business Network

Les clients tentent d'envoyer un bon de commande (BdC) de SAP ERP (Enterprise Resource Planning) à SAP Business Network et le bon de commande échoue dans Process Integration (PI) avec l'erreur suivante.

[Niveau d'erreur] 2[Code d'erreur] ECC103[Description de l'erreur] Ariba SN non disponible[Message d'erreur] Impossible de se connecter à Ariba SNcom.ariba.asc.connector.exception.AribaSNException : Impossible de se connecter à Ariba SN

Causé par : javax.net.ssl.SSLHandshakeException : sun.security.validator.ValidatorException : échec de PKIX path building : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée

Causé par : sun.security.validator.ValidatorException : échec de construction du chemin PKIX : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.valid(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 de plus

Causé par : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée
à sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
sur java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Cause

L'erreur "sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée ..." signifie généralement que la chaîne de certificats n'est pas complète. Cela peut se produire si aucun certificat racine de l'autorité de certification de confiance n'est installé dans le magasin de clés sécurisé ou si les certificats ne sont pas installés sur le bon chemin.

Solution

Nous avons fourni les suggestions suivantes aux clients, et nous devons nous assurer que :

Si les certificats sont correctement installés sur le keystore JDK (Java Development Kit) et que le certificat racine utilisé est une autorité de certification (AC) valide à laquelle Ariba fait confiance.
Les autorités de certification auxquelles Ariba fait confiance sont disponibles à l'adresse suivante : https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Les certificats liés à Ariba et les certificats tiers fournis par les autorités de certification doivent être installés dans la vue Trust Store, "TrustedCAs" et la vue Key Store doit disposer de TOUTES les autorisations. Ariba recommande toujours l'utilisation de "TrustedCAs" pour importer des certificats liés à Ariba.
La vue keystore "TrustedCAs" doit être mentionnée dans le canal de communication Process Integration (PI).

En outre, nous avons fourni la solution suivante, qui a résolu le problème.

Les étapes d'importation des certificats de sécurité pour SAP NetWeaver Adapter sont les suivantes :

Téléchargez le VerisignCerts.zip, joint à la demande de support et décompressez le contenu. Vous trouverez deux certificats.
Sur le serveur d'applications NetWeaver, envoyez la commande suivante à partir de la ligne de commande : echo $JAVA_HOME, qui vous indique l'emplacement de votre page d'accueil Java.
1. Accédez à votre JAVA_HOME/bin et exécutez la commande suivante : keytool –list –keystore /jre/lib/security/cacerts. (Il s'agit de l'emplacement du keystore dans votre répertoire JAVA_HOME).
2. Cette commande doit répertorier un nombre de certificats dans le keystore. S'il n'en existe pas, il ne s'agit pas du bon keystore.
3. S'il a plusieurs certificats, il s'agit probablement de l'emplacement approprié pour importer les nouveaux certificats et passez à l'étape suivante.
Exécutez la commande suivante pour importer les certificats dans le keystore :
1. Accédez à Java_Home/bin, puis copiez VeriSignClass3SecureServerCAG3.der et le répertoire VeriSignClass3PublicPrimaryCertificationAuthorityG5.der dans le répertoire bin.
2. Dans la ligne de commande, saisissez :
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Si tout est correct, il vous invite à saisir un mot de passe ; le mot de passe est "changeit".
4. Répétez les étapes a et b pour le certificat sst.

Vous devez ensuite redémarrer l'adaptateur Ariba XI. Si vous rencontrez encore des problèmes, relancez le serveur J2EE en suivant ces étapes :

1. Depuis le moniteur ICM (Internet Communication Manager), menu Admin, Relancer > Oui.
2. Envoyer arrêt définitif > Avec redémarrage.

Informations supplémentaires

Questions à poser pour résoudre les problèmes de certificat :

La valeur KeyStore (cacerts) est-elle correctement configurée dans les propriétés de configuration ?
Est-ce que la vue KeyStore/Truststore dispose de toutes les autorisations nécessaires ?
Vérifiez, validez les certificats et assurez-vous que tous les certificats sont disponibles dans les autorités de certification fiables. Essayez ensuite de tester avec un bon de commande/une facture.
Les derniers certificats sont-ils utilisés ?
Les environnements PROD et autres environnements non PROD fonctionnent-ils correctement ?
Pouvez-vous comparer les options de réseau, de pare-feu (ports) et de connectivité pour le client ? Quelque chose a-t-il changé ?
Pouvez-vous, s'il vous plaît, vérifier si des modifications liées au réseau/pare-feu existent ? Des modifications ont-elles été apportées au keystore JDK ou à la JVM ?
Quand le dernier bon de commande/la dernière facture correctement envoyé(e) à AN/reçu(e) depuis AN ?
Une montée de version SAP PI récente ou d'autres montées de version ont-elles été effectuées ?
Relancez SAP Business Network Adapter for SAP et relancez PI si nécessaire.

Note :

1) La montée de version PI/les modifications du canal de communication PI écrasent les informations de certificat et il est recommandé de vérifier les certificats et les configurations après les montées de version du système/système d'exploitation.

2) Les modifications apportées au réseau/pare-feu entraîneraient également la même erreur, et les clients doivent vérifier et valider si les certificats sont importés, si les configurations nécessaires sont en place et si les ports sont ouverts depuis SAP PI pour se connecter à SAP Business Network.

Impossible de se connecter à SAP Business Network - Échec de la création du chemin PKIX. docx

26,37 Ko

S'applique à

SAP Business Network for Procurement & Supply Chain