Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Nota di supporto KB0395063

Impossibile connettersi a SAP Business Network - Creazione percorso PKIX non riuscita

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Problema

Scenario di attività pendente:

SAP ECC --> SAP PI --> SAP Business Network

I clienti stanno tentando di inviare un ordine d'acquisto da SAP ERP (Enterprise Resource Planning) a SAP Business Network e l'ordine d'acquisto non riesce in Process Integration (PI) con il seguente errore.

[Livello di errore] 2[Codice errore] ECC103[Descrizione errore] Ariba SN non disponibile[Messaggio di errore] Impossibile connettersi ad Ariba SNcom.ariba.asc.connector.Exception.AribaSNException: impossibile connettersi ad Ariba SN

Causato da: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: creazione percorso PKIX non riuscita: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per la destinazione richiesta

Causato da: sun.security.validator.ValidatorException: creazione percorso PKIX non riuscita: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per la destinazione richiesta
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.validate(Validator.java:218)
in com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
in com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
in com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
in com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 in più

Causato da: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per la destinazione richiesta
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

L'errore "sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per la destinazione richiesta ..." in genere indica che la catena di certificati non è completa. Ciò può verificarsi se non è installato alcun certificato radice dell'autorità di certificazione attendibile nell'archivio chiavi attendibile o se i certificati non sono installati nel percorso corretto.

Soluzione

Abbiamo fornito i seguenti suggerimenti ai clienti, e dobbiamo garantire:

Assicurarsi che i certificati siano installati correttamente nel KeyStore JDK (Java Development Kit) e che il certificato radice utilizzato sia un'autorità di certificazione (CA) valida attendibile da Ariba.
Le autorità di certificazione attendibili di Ariba sono disponibili all'indirizzo: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
I certificati relativi ad Ariba e i certificati di terze parti forniti dalle autorità di certificazione devono essere installati nella vista Trust Store, "TrustedCAs" e nella visualizzazione del Key Store devono disporre di TUTTE le autorizzazioni. Ariba consiglia sempre l'utilizzo di "TrustedCAs" per importare certificati relativi ad Ariba.
La view Key Store, "TrustedCAs", deve essere menzionata nel canale di comunicazione Process Integration (PI).

Inoltre, è stata fornita la seguente soluzione che ha risolto il problema.

I passaggi per importare i certificati di sicurezza per l'adattatore SAP NetWeaver sono i seguenti:

Scarica il VerisignCerts.zip, allegato al Caso e decomprimi il contenuto. Sono disponibili due certificati.
Nel server di applicazioni NetWeaver, eseguire il seguente comando dalla riga di comando: echo $JAVA_HOME, che fornisce la posizione della home Java.
1. Accedere a JAVA_HOME/bin ed eseguire il seguente comando: keytool –list –keystore /jre/lib/security/cacerts. (Questa è la posizione del keystore nella directory JAVA_HOME).
2. Questo comando dovrebbe elencare una serie di certificati nel keystore. Se non ne esistono, questo non è il keystore corretto.
3. Se dispone di più certificati, è probabile che questa sia la posizione corretta per importare i nuovi certificati e passare alla fase successiva.
Eseguire il seguente comando per importare i certificati nel keystore:
1. Passare a Java_Home/bin, quindi copiare VeriSignClass3SecureServerCAG3.der e VeriSignClass3PublicPrimaryCertificationAuthorityG5.der nella directory bin.
2. Nella riga di comando immettere:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Se tutto è corretto, ti chiede una password; la password è "changeit".
4. Ripetere le fasi a e b per il certificato sst.

Successivamente, è necessario riavviare l'adattatore Ariba XI. In caso di problemi, riavviare il server J2EE attenendosi alla seguente procedura:

1. Dal menu Monitor ICM (Internet Communication Manager), Admin, Riavviare > Sì.
2. Invia chiusura definitiva > Con riavvio.

Informazioni supplementari

Domande da porre per risolvere i problemi dei certificati:

Il valore KeyStore (cacerts) è configurato correttamente nelle proprietà di configurazione?
La vista KeyStore / Trust Store ha tutte le autorizzazioni necessarie?
Controllare, validare i certificati e assicurarsi che tutti i certificati siano disponibili in TrustedCAs. Successivamente provare a eseguire il test con un ordine d'acquisto/una fattura.
Vengono utilizzati gli ultimi certificati?
PROD e altri ambienti non PROD funzionano correttamente?
Potresti, per favore, confrontare le impostazioni di rete, (porte) firewall e connettività per il cliente? È cambiato qualcosa?
Potresti, per favore, controllare se ci sono modifiche relative alla rete o al firewall? Sono state apportate modifiche a JDK Key Store o JVM?
Quando è stato inviato ad AN / ricevuto da AN l'ultimo ordine d'acquisto/fattura riuscito?
Sono stati eseguiti eventuali upgrade SAP PI recenti o altri upgrade?
Riavviare l'adattatore SAP Business Network per SAP ed eseguire un riavvio PI completo, se necessario.

Nota:

1) L'upgrade/modifica PI nel canale di comunicazione PI sovrascriverebbe le informazioni sul certificato ed è consigliabile controllare i certificati e le configurazioni dopo gli upgrade del sistema / del sistema operativo.

2) Anche le modifiche a Network/Firewall generano lo stesso errore e i clienti devono controllare e convalidare se i certificati sono stati importati, se sono presenti le configurazioni necessarie e le porte vengono aperte da SAP PI per connettersi a SAP Business Network.

Impossibile connettersi a SAP Business Network - Creazione percorso PKIX non riuscita.docx

26.37 KB

Si applica a

SAP Business Network for Procurement e Supply Chain