Cannot Connect to SAP Business Network - PKIX Path Building Failed

	日本語 - 機械翻訳	
Deutsch - 機械翻訳 English Español - 機械翻訳 Français (France) - 機械翻訳 Italiano - 機械翻訳 한국어 - 機械翻訳 Português (Brasil) - 機械翻訳 Русский - 機械翻訳简体中文 - 機械翻訳

サポートノート KB0395063

SAP Business Network に接続できません - PKIX パスを構築できませんでした

このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。

問題

問題シナリオ:

SAP ECC --> SAP PI --> SAP Business Network

お客様が SAP ERP (Enterprise Resource Planning) から SAP Business Network に注文書 (PO) を送信しようとすると、プロセス統合 (PI) で注文書が失敗し、以下のエラーが表示されます。

[エラーレベル] 2[エラーコード] ECC103[エラー説明] Ariba SN 利用不可 [エラーメッセージ] Ariba SNcom.ariba.asc.connector.exception.AribaSNException: Ariba SN に接続できません

原因: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX パス構築失敗: sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な認証パスが見つかりません

原因: sun.security.validator.ValidatorException: PKIX パス構築失敗: sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な認証パスが見つかりません
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.validate(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 追加

原因: sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な認証パスが見つかりません
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

原因

エラー "sun.security.provider.certpath.SunCertPathBuilderException: not find valid certification path to requested target ..." は、通常、証明書チェーンが完了していないことを意味します。これは、信頼された認証局のルート証明書が信頼されたキーストアにインストールされていないか、証明書が正しいパスにインストールされていない場合に発生することがあります。

ソリューション

以下の提案をお客様に提供しており、以下を確認する必要があります。

証明書が JDK (Java Development Kit) キーストアに適切にインストールされ、使用されているルート証明書が Ariba が信頼する有効な認証機関 (CA) であること。
Ariba が信頼する CA については、https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html を参照してください。
CA が提供する Ariba 関連の「証明書」及び「第三者証明書」は、「Trust Store View」、「TrustedCA」、及び「Key Store」ビューに「ALL Permissions」をインストールする必要がある。Ariba では、Ariba 関連の証明書をインポートするために「TrustedCA」を使用することを常に推奨しています。
キーストアビュー "TrustedCAs" は、プロセス統合 (PI) 通信チャネルで指定する必要があります。

さらに、この問題を解決する以下の解決方法が提供されました。

SAP NetWeaver Adapter のセキュリティ証明書をインポートする手順は以下のとおりです。

ケースに添付されている VerisignCerts.zip をダウンロードし、コンテンツを解凍します。2 つの証明書があります。
NetWeaver アプリケーションサーバで、コマンド行からコマンド echo $JAVA_HOME を発行します。これにより、Java ホームの場所が提供されます。
1. JAVA_HOME/bin に移動し、コマンド keytool -list -keystore /jre/lib/security/cacerts を発行します。(これは JAVA_HOME ディレクトリ内のキーストアの場所です)。
2. このコマンドでは、キーストア内の多数の証明書が一覧表示されます。存在しない場合、これは正しいキーストアではありません。
3. 複数の証明書がある場合は、新しい証明書をインポートする正しい場所である可能性が高く、次のステップに進みます。
次のコマンドを発行して、証明書をキーストアにインポートします。
1. Java_Home/bin に移動し、VeriSignClass3SecureServerCAG3.der と VeriSignClass3PublicPrimaryCertificationAuthorityG5.der を bin ディレクトリにコピーします。
2. コマンドラインで、次のように入力します。
  
  keytool -import -trustcacerts -alias certfile -file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. すべてが正しい場合は、パスワードの入力を求められます。パスワードは "changeit" です。
4. sst 証明書に対してステップ a と b を繰り返します。

次に、Ariba XI アダプタを再起動する必要があります。引き続き問題が発生する場合は、以下の手順に従って J2EE サーバを再起動します。

1. ICM (インターネット通信マネージャ) モニタの管理メニューから、再実行 > はいを選択します。
2. ハードシャットダウンの送信 > 再起動ありを選択します。

追加情報

証明書の問題のトラブルシューティングのための質問:

KeyStore (cacerts) 値は Configuration Properties で適切に設定されていますか。
キーストア/トラストストアビューに必要なすべての権限がありますか。
証明書をチェックして検証し、すべての証明書が TrustedCA で使用できることを確認します。その後、注文書/請求書でテストを試します。
最新の証明書を使用していますか?
PROD およびその他の非 PROD 環境は適切に動作しますか。
ネットワーク、(ポート) ファイアウォール、およびカスタマの接続設定を比較してください。何か変わりましたか。
ネットワーク/ファイアウォール関連の変更があるかどうかを確認してください。JDK キーストアまたは JVM に変更が発生しましたか?
最後に成功した注文書/請求書が AN に送信され、AN から受信されたのはいつですか。
最新の SAP PI アップグレードまたはその他のアップグレードが実行されていますか。
SAP Business Network Adapter for SAP を再起動し、必要に応じて完全な PI を再起動してください。

注記:

1) PI アップグレード/PI 通信チャネルの変更によって証明書情報が上書きされるため、システム/OS のアップグレード後に証明書および設定をチェックすることをお奨めします。

2) ネットワーク/ファイアウォールの変更でも同じエラーが発生します。お客様は、SAP Business Network に接続するために、証明書がインポートされているかどうか、必要な設定が行われているかどうか、およびポートが SAP PI から開かれているかどうかを確認して検証する必要があります。

SAP Business Network に接続できません - PKIX パスを構築できませんでした。docx

26.37 KB

該当項目

SAP Business Network for Procurement & Supply Chain