Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Français (France) - Traduction automatique	
Deutsch - Traduction automatique English Español - Traduction automatique Italiano - Traduction automatique 日本語 - Traduction automatique 한국어 - Traduction automatique Português (Brasil) - Traduction automatique Русский - Traduction automatique 简体中文 - Traduction automatique

Note d'assistance KB0395063

Impossible de se connecter à SAP Business Network - Échec de la création du chemin PKIX

Cet article de la base de connaissances a été traduit automatiquement pour vous faciliter la tâche. SAP ne garantit pas l'exactitude ou l'exhaustivité de cette traduction automatique. Vous pouvez trouver le contenu d'origine en passant à l'anglais à l'aide du sélecteur de langue.

Problème

Scénario de problème :

SAP ECC --> SAP PI --> SAP Business Network

Les clients tentent d'envoyer un bon de commande (BdC) de SAP ERP (Enterprise Resource Planning) à SAP Business Network et le bon de commande échoue dans Process Integration (PI) avec l'erreur suivante.

[Niveau d'erreur] 2[Code d'erreur] ECC103[Description de l'erreur] Ariba SN non disponible[Message d'erreur] Impossible de se connecter à Ariba SNcom.ariba.asc.connector.exception.AribaSNException : Impossible de se connecter à Ariba SN

Causé par : javax.net.ssl.SSLHandshakeException : sun.security.validator.ValidatorException : échec de la création du chemin PKIX : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée

Causé par : sun.security.validator.ValidatorException : échec de création du chemin PKIX : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide pour la cible demandée
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
à sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.valid(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 de plus

Causé par : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide vers la cible demandée
sur sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
sur java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Cause

L'erreur « sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide vers la cible demandée ... » signifie généralement que la chaîne de certificats est incomplète. Cela peut se produire si aucun certificat racine de l'autorité de certification de confiance n'est installé dans le magasin de clés de confiance ou si les certificats ne sont pas installés sur le chemin correct.

Solution

Nous avons fourni les suggestions suivantes aux clients et nous devons veiller à ce que :

L'installation correcte des certificats sur le keystore JDK (Java Development Kit) et l'utilisation du certificat racine est une autorité de certification valide à laquelle Ariba fait confiance.
Les autorités de certification auxquelles Ariba fait confiance sont disponibles à l'adresse suivante : https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Les certificats liés à Ariba et les certificats tiers fournis par les autorités de certification doivent être installés dans la vue Trust Store, "TrustedCAs" et la vue Key Store doit avoir TOUTES les autorisations. Ariba recommande toujours l'utilisation de "TrustedCAs" pour importer les certificats liés à Ariba.
La vue keystore "TrustedCAs" doit être mentionnée dans le canal de communication Process Integration (PI).

En outre, nous avons fourni la solution suivante, qui a résolu le problème.

Les étapes d'importation des certificats de sécurité pour SAP NetWeaver Adapter sont les suivantes :

Téléchargez le VerisignCerts.zip, joint au dossier et décompressez le contenu. Vous trouverez deux certificats.
Sur le serveur d'applications NetWeaver, exécutez la commande suivante à partir de la ligne de commande : echo $JAVA_HOME, qui vous indique l'emplacement de votre page d'accueil Java.
1. Accédez à votre JAVA_HOME/bin et exécutez la commande suivante : keytool –list –keystore /jre/lib/security/cacerts. (Il s'agit de l'emplacement du keystore dans votre répertoire JAVA_HOME).
2. Cette commande doit répertorier un certain nombre de certificats dans le keystore. S'il n'en existe aucun, il ne s'agit pas du keystore correct.
3. S'il existe plusieurs certificats, il s'agit probablement de l'emplacement approprié pour importer les nouveaux certificats et passer à l'étape suivante.
Exécutez la commande suivante pour importer les certificats dans le keystore :
1. Accédez à Java_Home/bin, puis copiez VeriSignClass3SecureServerCAG3.der et VeriSignClass3PublicPrimaryCertificationAuthorityG5.der dans le répertoire bin.
2. Dans la ligne de commande, saisissez :
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Si tout est correct, il vous invite à saisir un mot de passe ; le mot de passe est "changeit".
4. Répétez les étapes a et b pour le certificat ST.

Ensuite, vous devez redémarrer l'adaptateur Ariba XI. Si vous rencontrez encore des problèmes, relancez le serveur J2EE en suivant ces étapes :

1. À partir du moniteur ICM (Internet Communication Manager), menu Admin, Relancer > Oui.
2. Envoyer Fermeture définitive > Avec redémarrage.

Informations supplémentaires

Questions à poser pour résoudre les problèmes de certificat :

La valeur KeyStore (cacerts) est-elle correctement configurée dans les propriétés de configuration ?
La vue KeyStore/Trust Store a-t-elle toutes les autorisations nécessaires ?
Vérifiez, validez les certificats et assurez-vous que tous les certificats sont disponibles dans TrustedCAs. Essayez ensuite de tester avec un BdC/une facture.
Les derniers certificats sont-ils utilisés ?
Les environnements PROD et autres environnements non PROD fonctionnent-ils correctement ?
Pouvez-vous, s'il vous plaît, comparer les paramètres de réseau, de pare-feu (ports) et de connectivité pour le client ? Quelque chose a-t-il changé ?
Pourriez-vous, s'il vous plaît, vérifier si des changements liés au réseau/pare-feu existent ? Des modifications ont-elles été apportées au magasin de clés JDK ou à la JVM ?
Quand le dernier bon de commande/la dernière facture correctement envoyé(e) à AN / a-t-il été reçu(e) depuis AN ?
Avez-vous effectué une montée de version récente de SAP PI ou d'autres montées de version ?
Redémarrez l'adaptateur SAP Business Network pour SAP et effectuez un redémarrage PI complet si nécessaire.

Note :

1) La montée de version PI/les modifications dans le canal de communication PI écraseraient les informations de certificat et il est recommandé de vérifier les certificats et les configurations après les montées de version du système/système d'exploitation.

2) Les modifications apportées au réseau/pare-feu entraîneraient également la même erreur et les clients doivent vérifier et valider si les certificats sont importés, si les configurations nécessaires sont en place et si les ports sont ouverts depuis SAP PI pour se connecter à SAP Business Network.

Impossible de se connecter à SAP Business Network - Échec de la création du chemin PKIX. docx

26,37 Ko

S'applique à

SAP Business Network for Procurement & Supply Chain