Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Nota di supporto KB0395063

Impossibile connettersi a SAP Business Network - Creazione percorso PKIX non riuscita

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Problema

Scenario di problema:

SAP ECC --> SAP PI --> SAP Business Network

I clienti stanno tentando di inviare un ordine d'acquisto da SAP ERP (Enterprise Resource Planning) a SAP Business Network e l'ordine d'acquisto non riesce in Process Integration (PI) con il seguente errore.

[Livello errore] 2[Codice errore] ECC103[Descr. errore] Ariba Network non disponibile[Messaggio di errore] Impossibile connettersi ad Ariba SNcom.ariba.asc.connector.Exception.AribaSNException: Impossibile connettersi ad Ariba SN

Causato da: javax.net.ssl.SSLHandshakeEccezione: sun.security.validator.ValidatorException: Creazione percorso PKIX non riuscita: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per la destinazione richiesta

Causato da: sun.security.validator.ValidatorException: Creazione percorso PKIX non riuscita: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per il target richiesto
sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
sun.security.validator.Validator.Validation(Validator.java:218)
all'indirizzo com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.Validation(X509TrustManagerImpl.java:126)
all'indirizzo com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
all'indirizzo com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
in com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 in più

Causato da: sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per il target richiesto
presso sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
all'indirizzo java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

L'errore, "sun.security.provider.certpath.SunCertPathBuilderException: impossibile trovare un percorso di certificazione valido per il target richiesto ..." generalmente significa che la catena di certificati non è completa. Ciò può verificarsi se nell'archivio chiavi attendibile non è installato alcun certificato radice dell'autorità di certificazione attendibile o se i certificati non sono installati nel percorso corretto.

Soluzione

Abbiamo fornito i seguenti suggerimenti ai clienti e dobbiamo assicurarci:

che i certificati siano installati correttamente nel keystore JDK (Java Development Kit) e che il certificato radice utilizzato sia un'autorità di certificazione (CA) valida di cui Ariba si fida.
Le autorità di certificazione ritenute affidabili da Ariba sono disponibili all'indirizzo: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
I certificati relativi ad Ariba e i certificati di terze parti forniti dalle autorità di certificazione devono essere installati nella visualizzazione Trust Store, "TrustedCA" e la vista archivio chiavi deve disporre di TUTTE le autorizzazioni. Ariba consiglia sempre l'utilizzo di "TrustedCA" per importare certificati relativi ad Ariba.
La view del Key Store, "TrustedCAs", deve essere menzionata nel canale di comunicazione Process Integration (PI).

Inoltre, abbiamo fornito la seguente soluzione, che ha risolto il problema.

Per importare i certificati di sicurezza per l'adattatore SAP NetWeaver, attenersi alla seguente procedura:

Scarica la VerisignCerts.zip, allegata al Caso e decomprimi i contenuti. Sono disponibili due certificati.
Sul server di applicazioni NetWeaver, eseguire il comando seguente dalla riga di comando : echo $JAVA_HOME, che indica la posizione della home Java.
1. Vai al tuo JAVA_HOME/bin ed esegui il seguente comando: keytool –list –keystore /jre/lib/security/cacerts. (Questa è la posizione dell'archivio chiavi nella directory JAVA_HOME).
2. Questo comando deve elencare una serie di certificati nel keystore. Se non esiste, questo non è il keystore corretto.
3. Se sono presenti più certificati, è probabile che questa sia la posizione corretta per importare i nuovi certificati e passare alla fase successiva.
Eseguire il seguente comando per importare i certificati nel keystore:
1. Passare a Java_Home/bin, quindi copiare VeriSignClass3SecureServerCAG3.der e VeriSignClass3PublicPrimaryCertificationAuthorityG5.der nella directory bin.
2. Nella riga di comando, immettere:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Se tutto è corretto, ti chiede una password; la password è "changeit".
4. Ripetere le fasi a e b per il certificato sst.

Successivamente, è necessario riavviare l'adattatore Ariba XI. Se il problema persiste, riavviare il server J2EE attenendosi alla seguente procedura:

1. Dal menu ICM (Internet Communication Manager) Monitor, Admin, Restart > Yes.
2. Invia spegnimento rigido > Con il riavvio.

Informazioni supplementari

Domande da porre per risolvere i problemi relativi ai certificati:

Il valore KeyStore (cacerts) è configurato correttamente nelle proprietà di configurazione?
Il KeyStore / la vista Trust Store dispone di tutte le autorizzazioni necessarie?
Controllare, validare i certificati e assicurarsi che tutti i certificati siano disponibili in TrustedCA. Successivamente, provare a eseguire il test con un ordine d'acquisto/fattura.
Vengono utilizzati gli ultimi certificati?
PROD e altri Ambienti Non-PROD funzionano correttamente?
Potresti confrontare le impostazioni di rete, firewall (porte) e connettività per il cliente? È cambiato qualcosa?
Potresti, per favore, verificare se ci sono modifiche relative alla rete/firewall? Sono state apportate modifiche al JDK Key Store o alla JVM?
Quando è stato inviato l'ultimo ordine d'acquisto/fattura corretto ad AN / ricevuto da AN?
È stato eseguito un upgrade SAP PI recente o altri upgrade?
Riavviare l'adattatore SAP Business Network per SAP ed eseguire un riavvio PI completo, se necessario.

Nota:

1) Upgrade PI / Modifiche nel canale di comunicazione PI sovrascriverebbe le informazioni sul certificato ed è consigliabile controllare i certificati e le configurazioni dopo gli upgrade del sistema/sistema operativo.

2) Anche le modifiche alla rete/firewall genererebbero lo stesso errore e i clienti devono verificare e convalidare se i certificati sono importati, se sono state implementate le configurazioni necessarie e le porte vengono aperte da SAP PI per connettersi a SAP Business Network.

Impossibile connettersi a SAP Business Network - Creazione percorso PKIX non riuscita.docx

26.37 KB

Si applica a

SAP Business Network for Procurement e Supply Chain