Cannot Connect to SAP Business Network - PKIX Path Building Failed

	한국어 - 기계 번역	
Deutsch - 기계 번역 English Español - 기계 번역 Français (France) - 기계 번역 Italiano - 기계 번역 日本語 - 기계 번역 Português (Brasil) - 기계 번역 Русский - 기계 번역 简体中文 - 기계 번역

지원 참고 사항 KB0395063

SAP Business Network에 연결할 수 없음 - PKIX 경로 작성 실패

이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.

출고

이슈 시나리오:

SAP ECC --> SAP PI --> SAP Business Network

고객이 SAP ERP(Enterprise Resource Planning)에서 SAP Business Network로 구매 오더(PO)를 전송하려고 시도하고 있으며, PO가 프로세스 통합(PI)에서 실패하고 다음 오류가 발생했습니다.

[오류 레벨] 2[오류 코드] ECC103[오류 내역] Ariba SN을 사용할 수 없음[오류 메시지] Ariba SNcom.ariba.asc.connector.exception.AribaSNException: Ariba SN에 연결할 수 없음

원인: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX 경로 작성 실패: sun.security.provider.certpath.SunCertPathBuilderException: 요청한 대상에 대한 유효한 인증 경로를 찾을 수 없습니다.

원인: sun.security.validator.ValidatorException: PKIX 경로 작성 실패: sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없습니다.
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
에서 sun.security.validator.Validator.validate(Validator.java:218)
에서 com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrustTrust(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrustTrust(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 30 더 보기

원인: sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없습니다.
에서 sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

원인

오류 "sun.security.provider.certpath.SunCertPathBuilderException: 요청된 대상에 대한 유효한 인증 경로를 찾을 수 없음 ..."은 일반적으로 인증서 체인이 완료되지 않았음을 의미합니다. 신뢰할 수 있는 키 저장소에 신뢰할 수 있는 인증 기관의 루트 인증서가 설치되어 있지 않거나 인증서가 올바른 경로에 설치되지 않은 경우에 발생할 수 있습니다.

솔루션

고객에게 다음과 같은 제안을 제공하며 이를 보장해야 합니다.

인증서가 JDK(Java Development Kit) KeyStore에 제대로 설치되어 있고 사용 중인 루트 인증서는 Ariba에서 신뢰하는 유효한 인증 기관(CA)입니다.
Ariba가 신뢰하는 CA는 https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html 에서 확인할 수 있습니다.
CA에서 제공하는 Ariba 관련 인증서 및 타사 인증서가 TrustStore 뷰, "TrustedCA"에 설치되어야 하며 Keystore 뷰에는 모든 권한이 있어야 합니다. Ariba에서는 항상 "TrustedCAs"를 사용하여 Ariba 관련 인증서를 가져올 것을 권장합니다.
Keystore 뷰 "TrustedCAs"는 프로세스 통합(PI) 통신 채널에서 언급되어야 합니다.

또한 문제를 해결한 다음 솔루션을 제공했습니다.

SAP NetWeaver Adapter의 보안 인증서를 임포트하는 단계는 다음과 같습니다.

케이스에 첨부된 VerisignCerts.zip을(를) 다운로드하고 컨텐트의 압축을 풉니다. 두 개의 인증서가 있습니다.
NetWeaver 응용 프로그램 서버의 명령줄인 echo $JAVA_HOME 에서 Java 홈의 위치를 제공하는 다음 명령을 실행합니다.
1. JAVA_HOME/bin 으로 이동하여 keytool –list –keystore /jre/lib/security/cacerts 명령을 실행합니다. (JAVA_HOME 디렉터리에 있는 keystore의 위치입니다.)
2. 이 명령어에는 Keystore의 여러 인증서가 나열되어야 합니다. 해당 항목이 없으면 올바른 Keystore가 아닙니다.
3. 인증서가 여러 개인 경우 새 인증서를 임포트하기 위한 올바른 위치일 수 있으며 다음 단계로 이동합니다.
다음 명령을 실행하여 Keystore에 인증서를 임포트합니다.
1. Java_Home/bin으로 이동한 다음 VeriSignClass3SecureServerCAG3.der 와 VeriSignClass3PublicPrimaryCertificationAuthorityG5.der 를 bin 디렉토리에 복사합니다.
2. 명령줄에서 다음을 입력합니다.
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. 모든 내용이 올바르면 비밀번호를 입력하라는 메시지가 표시됩니다. 비밀번호는 "changeit"입니다.
4. 서버 인증서에 대해 a 단계와 b 단계를 반복합니다.

다음으로 Ariba XI 어댑터를 다시 시작해야 합니다. 여전히 이슈가 있는 경우 다음 단계에 따라 J2EE 서버를 재시작합니다.

1. ICM(Internet Communication Manager) 모니터 에서 관리 메뉴, 재시작 > 예 를 선택합니다.
2. 보내기 하드 종료 > 다시 시작.

추가 정보

인증서 문제 해결을 위한 질문:

구성 속성에서 KeyStore(cacerts) 값이 올바르게 구성되었습니까?
KeyStore/Trust Store 뷰에 필요한 모든 권한이 있습니까?
인증서를 확인, 검증하고 TrustedCA에서 모든 인증서를 사용할 수 있는지 확인합니다. 그런 다음 PO/송장으로 테스트를 시도합니다.
최신 인증서가 사용되고 있습니까?
PROD 및 기타 비PROD 환경이 제대로 작동합니까?
고객의 네트워크, (포트) 방화벽 및 연결 설정을 비교해 주시겠습니까? 변경된 내용이 있습니까?
네트워크/방화벽 관련 변경 사항이 있는지 확인해 주시겠습니까? JDK 키 저장소 또는 JVM이 변경되었습니까?
AN에 마지막으로 성공한 구매 오더/송장을 AN으로부터 받은 시점은 언제입니까?
최근 SAP PI 업그레이드 또는 기타 업그레이드가 수행되었습니까?
SAP Business Network Adapter for SAP를 재시작하고 필요한 경우 전체 PI를 재시작합니다.

참고:

1) PI 업그레이드/PI 통신 채널의 변경은 인증서 정보를 덮어쓰며, 시스템/OS 업그레이드 후 인증서와 구성을 점검하는 것이 좋습니다.

2) 네트워크/방화벽이 변경되면 동일한 오류가 발생하며, 고객은 인증서가 임포트되었는지, 필요한 구성이 준비되어 있는지 확인하고, SAP PI에서 포트를 열어 SAP Business Network에 연결해야 합니다.

SAP Business Network에 연결할 수 없음 - PKIX 경로 작성 실패. docx

26.37KB

적용 대상

SAP Business Network for Procurement & Supply Chain