Cannot Connect to SAP Business Network - PKIX Path Building Failed

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート KB0395063

SAP Business Network に接続できません - PKIX パスの構築に失敗しました

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

問題

イシューシナリオ:

SAP ECC --> SAP PI --> SAP Business Network

お客様が SAP ERP (Enterprise Resource Planning) から SAP Business Network に注文書 (PO) を送信しようとしていますが、その PO はプロセス統合 (PI) で失敗し、以下のエラーが表示されます。

[エラーレベル] 2[エラーコード] ECC103[エラー説明] Ariba Supplier Network 利用不可[エラーメッセージ] Ariba SNcom.ariba.asc.connector.exception.AribaSNException: Ariba SN に接続できません

原因: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な認証パスが見つかりません

原因: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to requested target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.validate(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... さらに 30 件

原因: sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な認証パスが見つかりません
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

原因

エラー "sun.security.provider.certpath.SunCertPathBuilderException: unable to valid certification path to requested target ..." は、通常、証明書チェーンが完了していないことを意味します。これは、信頼できる認証機関のルート証明書が信頼されたキーストアにインストールされていないか、証明書が正しいパスにインストールされていない場合に発生する可能性があります。

ソリューション

以下の提案をお客様に提供しました。以下を確認する必要があります。

証明書が JDK (Java Development Kit) キーストアに適切にインストールされていること、および使用されているルート証明書が Ariba が信頼する有効な認証機関 (CA) であること。
Ariba が信頼している CA は、https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html に掲載されている。
CA が提供する Ariba 関連の証明書およびサードパーティ証明書は Trust Store View の「TrustedCAs」にインストールされ、Key Store ビューにはすべての権限が必要です。Ariba では、常に「TrustedCAs」を使用して Ariba 関連の証明書をインポートすることを推奨しています。
Process Integration (PI) 通信チャネルで、キーストアビュー "TrustedCAs" を指定する必要があります。

さらに、問題を解決する以下のソリューションを提供しました。

SAP NetWeaver アダプタのセキュリティ証明書をインポートするステップは以下のとおりです。

ケースに添付されている VerisignCerts.zip をダウンロードし、コンテンツを解凍します。2 つの証明書があります。
NetWeaver アプリケーションサーバで、コマンドラインからコマンド echo $JAVA_HOME を発行します。これにより、Java ホームの場所が提供されます。
1. JAVA_HOME/bin に移動し、コマンド keytool –list –keystore /jre/lib/security/cacerts を発行します。(これは JAVA_HOME ディレクトリ内のキーストアの場所です)。
2. このコマンドにより、キーストア内の多数の証明書が一覧表示されます。存在しない場合、これは正しいキーストアではありません。
3. 複数の証明書がある場合、これは新しい証明書をインポートして次のステップに進むための正しい場所である可能性があります。
次のコマンドを発行して、証明書をキーストアにインポートします。
1. Java_Home/bin に移動し、VeriSignClass3SecureServerCAG3.der および VeriSignClass3PublicPrimaryCertificationAuthorityG5.der を bin ディレクトリにコピーします。
2. コマンドラインで、次のように入力します。
  
  keytool -import -trustcacerts -alias certfile -file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. すべてが正しい場合は、パスワードの入力を求められます。パスワードは "changeit" です。
4. sst 証明書に対してステップ a と b を繰り返します。

次に、Ariba XI アダプタを再起動する必要があります。それでも問題が発生する場合は、以下の手順に従って J2EE サーバを再起動します。

1. ICM (インターネット通信マネージャ) モニタから、管理メニューの再起動 > はいを選択します。
2. [Send Hard Shutdown] > [With Restart] を選択します。

追加情報

証明書の問題をトラブルシューティングするための質問:

キーストア (cacerts) の値が設定プロパティで適切に設定されていますか。
キーストア/トラストストアビューに必要なすべての権限がありますか?
証明書をチェックおよび検証し、TrustedCAs ですべての証明書が利用可能であることを確認します。その後、注文書/請求書でテストを試します。
最新の証明書が使用されていますか?
PROD およびその他の非 PROD 環境は適切に機能しますか。
お客様のネットワーク、(ポート) ファイアウォール、および接続設定を比較してください。何か変わりましたか。
ネットワーク/ファイアウォールに関連する変更があるかどうかを確認してください。JDK キーストアまたは JVM に対して変更が発生しましたか。
最後に成功した注文書/請求書が AN に送信された/AN から受信されたのはいつですか。
最近の SAP PI アップグレードまたはその他のアップグレードが行われていますか。
SAP Business Network Adapter for SAP を再起動し、必要に応じて完全な PI 再起動を実行します。

注記:

1) PI 通信チャネルの PI アップグレード/変更によって証明書情報が上書きされ、システム/OS のアップグレード後に証明書および設定をチェックすることをお奨めします。

2) ネットワーク/ファイアウォールの変更でも同じエラーが発生します。顧客は、証明書がインポートされているかどうか、必要な設定が行われているかどうか、および SAP Business Network に接続するためにポートが SAP PI から開かれているかどうかをチェックおよび検証する必要があります。

SAP Business Network に接続できません - PKIX パス構築に失敗しました。docx

26.37 KB

該当項目

SAP Business Network for Procurement & Supply Chain