지원 참고 사항 KB0395063
전자우편
SAP Business Network에 연결할 수 없음 - PKIX 경로 작성 실패
이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.
이슈

이슈 시나리오:

SAP ECC --> SAP PI --> SAP Business Network

고객이 SAP ERP(Enterprise Resource Planning)에서 SAP Business Network로 구매 오더(PO)를 전송하려고 하는데 다음 오류가 발생하여 PI(Process Integration)에서 PO가 실패합니다.

[오류 레벨] 2[오류 코드] ECC103[오류 내역] Ariba SN을 사용할 수 없음[오류 메시지] Ariba SNcom.ariba.asc.connector.exception.AribaSNException: Ariba SN에 연결할 수 없음

원인: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX 경로 작성 실패: sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없음


원인: sun.security.validator.ValidatorException: PKIX 경로 작성 실패: sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없음
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engine.Validate(PKIXValidator.java:217)
sun.security.validator.Validator.validator.validate(Validator.java:218)
com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30개 더


원인: sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없음
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

원인

오류, "sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없음 ..."은 일반적으로 인증서 체인이 완전하지 않음을 의미합니다. 신뢰할 수 있는 인증 기관의 루트 인증서가 Trusted Key Store에 설치되지 않았거나 인증서가 올바른 경로에 설치되지 않은 경우 발생할 수 있습니다.

솔루션

고객에게 다음과 같은 제안을 제공했으며 이를 보장해야 합니다.

  1. 인증서가 JDK(Java Development Kit) KeyStore에 제대로 설치되었으며 사용 중인 루트 인증서는 Ariba가 신뢰하는 유효한 인증 기관(CA)입니다.
  2. Ariba가 신뢰하는 CA는 https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html 에서 확인할 수 있습니다.
  3. CA가 제공하는 Ariba 관련 인증서 및 제3자 인증서는 Truststore 뷰, "TrustedCAs"에 설치되어야 하며 Keystore 뷰에는 모든 권한이 있어야 합니다. Ariba에서는 Ariba와 관련된 인증서를 가져오려면 항상 "TrustedCAs"를 사용할 것을 권장합니다.
  4. Key Store 뷰 "TrustedCAs"는 Process Integration(PI) 통신 채널에 언급되어야 합니다.

또한 다음 솔루션을 제공하여 문제를 해결했습니다.

SAP NetWeaver Adapter의 보안 인증서를 임포트하는 단계는 다음과 같습니다.

  1. 케이스에 첨부된 VerisignCerts.zip 다운로드하고 콘텐츠를 압축 해제합니다. 두 개의 인증서가 있습니다.
  2. NetWeaver 응용 프로그램 서버에서 echo $JAVA_HOME 명령줄에서 Java 홈 위치를 제공하는 다음 명령을 실행합니다.


    1. JAVA_HOME/bin 으로 이동하여 keytool –list –keystore /jre/lib/security/cacerts 명령을 실행합니다. JAVA_HOME 디렉터리에 있는 Keystore의 위치입니다.
    2. 이 명령은 keystore에 여러 개의 인증서를 나열해야 합니다. 없는 경우 올바른 Keystore가 아닙니다.
    3. 인증서가 여러 개인 경우 신규 인증서를 임포트하고 다음 단계로 이동할 수 있는 올바른 위치일 수 있습니다.


  3. 다음 명령을 실행하여 인증서를 Keystore에 가져옵니다.


    1. Java_Home/bin 으로 이동한 다음 VeriSignClass3SecureServerCAG3.derVeriSignClass3PublicPrimaryCertificationAuthorityG5.der 를 bin 디렉터리에 복사합니다.
    2. 명령어 라인에 다음을 입력합니다.

      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts

    3. 모든 것이 올바르면 비밀번호를 입력하라는 메시지가 표시됩니다. 비밀번호는 "changeit"입니다.
    4. sst 인증서에 대해 단계 a와 b를 반복합니다.

그런 다음 Ariba XI 어댑터를 다시 시작해야 합니다. 여전히 문제가 있는 경우 다음 단계에 따라 J2EE 서버를 다시 시작하십시오.

    1. ICM(인터넷 통신 관리자) 모니터 의 관리 메뉴에서 재시작 > 예 를 선택합니다.
    2. 하드 종료 보내기 > 재시작 포함.

추가 정보

인증서 문제 해결을 위한 질문:

  1. 구성 속성에 KeyStore(cacerts) 값이 올바르게 구성되어 있습니까?
  2. KeyStore/Trust Store 뷰에 필요한 모든 권한이 있습니까?
  3. 인증서를 확인하고 유효성을 확인한 후 TrustedCA에서 모든 인증서를 사용할 수 있는지 확인합니다. 그런 다음 PO / 송장으로 테스트해 보십시오.
  4. 최신 인증서가 사용되고 있습니까?
  5. PROD 및 기타 비PROD 환경이 제대로 작동합니까?
  6. 고객의 네트워크, (포트) 방화벽 및 연결 설정을 비교해주시겠습니까? 변경사항이 있습니까?
  7. 네트워크/방화벽 관련 변경사항이 있는지 확인해 주시겠습니까? JDK 키 저장소 또는 JVM이 변경되었습니까?
  8. AN으로 마지막으로 성공한 PO/송장이 언제 전송되었습니까/AN으로부터 수신되었습니까?
  9. 최근 SAP PI 업그레이드 또는 다른 업그레이드가 수행되었습니까?
  10. SAP용 SAP Business Network 어댑터를 재시작하고, 필요한 경우 전체 PI 재시작을 수행합니다.

참고:

1) PI 업그레이드/PI 통신 채널의 변경사항은 인증서 정보를 덮어쓰며 시스템/OS 업그레이드 후 인증서와 구성을 점검하는 것이 좋습니다.

2) 네트워크/방화벽의 변경으로 인해 동일한 오류가 발생하며, 고객은 인증서가 임포트되었는지, 필요한 구성이 준비되어 있는지, SAP Business Network에 연결하려면 SAP PI에서 포트가 열리는지 확인하고 검증해야 합니다.

SAP Business Network에 연결할 수 없음 - PKIX 경로 작성 실패. docx26.37 KB

적용 대상

SAP Business Network for Procurement & Supply Chain

사용 약관  |  저작권  |  보안 관련 정보  |  개인 정보 보호