Nota de suporte KB0395063
E-mail
Não é possível conectar-se ao SAP Business Network – Falha ao criar o caminho do PKIX
Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.
Problema

Cenário de problema:

SAP ECC --> SAP PI --> SAP Business Network

Os clientes estão tentando enviar um pedido de compra (PO) do SAP ERP (Enterprise Resource Planning) para o SAP Business Network e o pedido de compra falha na Process Integration (PI) com o seguinte erro.

[Nível de erro] 2[Código de erro] ECC103[Descrição do erro] Ariba SN não disponível[Mensagem de erro] Não é possível conectar ao Ariba SNcom.ariba.asc.connector.exception.AribaSNException: não é possível conectar ao Ariba SN

Causado por: javax.net.ssl.SSLHandshakeExceção: sun.security.validator.ValidatorException: criação de caminho PKIX falhou: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar caminho de certificação válido para o destino solicitado


Causado por: sun.security.validator.ValidatorException: A criação do caminho PKIX falhou: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o destino solicitado
em sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
em sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
em sun.security.validator.Validator.valid(Validator.java:218)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
em com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... mais 30


Causado por: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o alvo solicitado
em sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
em java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
em sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

O erro “sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o alvo solicitado ...” geralmente significa que a cadeia de certificados não está completa. Isso pode ocorrer se não existir um certificado-raiz da autoridade de certificação confiável instalado no repositório de chaves confiáveis ou se os certificados não estiverem instalados no caminho correto.

Solução

Fornecemos as seguintes sugestões aos clientes e precisamos garantir:

  1. Que os certificados estão instalados corretamente no KeyStore JDK (Java Development Kit) e que o certificado-raiz usado é uma autoridade certificadora (CA) válida em que a Ariba confia.
  2. As CAs nas quais a Ariba confia podem ser encontradas em: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
  3. Certificados relacionados à Ariba e certificados de terceiros fornecidos por CAs devem ser instalados na visão Trust Store, "TrustedCAs" e a visão Key Store deve ter TODAS as permissões. A Ariba recomenda sempre o uso de "TrustedCAs" para importar certificados relacionados à Ariba.
  4. A visão de keystore, "TrustedCAs", precisa ser mencionada no canal de comunicação Process Integration (PI).

Além disso, fornecemos a seguinte solução, que resolveu o problema.

As etapas para importar os certificados de segurança para o adaptador do SAP NetWeaver são as seguintes:

  1. Baixe o VerisignCerts.zip, anexado ao caso e descompacte o conteúdo. Você encontra dois certificados.
  2. No servidor de aplicação NetWeaver, emita o seguinte comando da linha de comando: echo $JAVA_HOME, que fornece a localização da sua casa Java.


    1. Vá para o seu JAVA_HOME/bin e emita o seguinte comando: keytool –list –keystore /jre/lib/security/cacerts. (Esta é a localização do keystore no seu diretório JAVA_HOME).
    2. Este comando deve listar vários certificados no keystore. Se não existir nenhuma, esta não é a keystore correta.
    3. Se ele tiver vários certificados, este é provavelmente o local correto para importar os novos certificados e ir para a próxima etapa.


  3. Emita o seguinte comando para importar os certificados para o keystore:


    1. Vá para Java_Home/bin; em seguida, copie VeriSignClass3SecureServerCAG3.der e o diretório VeriSignClass3PublicPrimaryCertificationAuthorityG5.der para bin.
    2. Na linha de comando, insira:

      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts

    3. Se tudo estiver correto, ele solicita uma senha; a senha é "changeit".
    4. Repita as etapas a e b para o certificado sst.

Em seguida, você deve reiniciar o adaptador Ariba XI. Se você ainda tiver problemas, reinicie o servidor J2EE seguindo estas etapas:

    1. A partir do ICM (Internet Communication Manager) Monitor, menu Admin, Reiniciar > Sim.
    2. Enviar desligamento permanente > Com reinício.

Informações adicionais

Perguntas a serem feitas para solucionar problemas de certificado:

  1. O valor KeyStore (cacerts) está configurado corretamente nas propriedades de configuração?
  2. A visão KeyStore/Trust Store tem todas as permissões necessárias?
  3. Verifique, valide os certificados e certifique-se de que todos os certificados estão disponíveis em TrustedCAs. Em seguida, tente testar com um pedido/fatura.
  4. Os certificados mais recentes estão sendo usados?
  5. O PROD e outros ambientes não PROD funcionam corretamente?
  6. Você poderia, por favor, comparar a Rede, (Portas) Firewall e Configurações de Conectividade para o cliente? Mudou alguma coisa?
  7. Você poderia, por favor, verificar se existem alterações relacionadas à rede/firewall? Alguma alteração aconteceu no JDK Key Store ou JVM?
  8. Quando a última PO/fatura bem-sucedida foi enviada ao AN/recebida do AN?
  9. Algum upgrade recente do SAP PI ou qualquer outro upgrade foi feito?
  10. Reinicie o adaptador do SAP Business Network para SAP e efetue um reinício completo do PI, se necessário.

Nota:

1) Upgrade/modificações PI no canal de comunicação PI sobregravariam as informações do certificado e é aconselhável verificar os certificados e configurações após upgrades do sistema/SO.

2) Alterações na rede/firewall também resultariam no mesmo erro, e os clientes precisam verificar e validar se os certificados foram importados, se as configurações necessárias estão em vigor e as portas são abertas a partir do SAP PI para se conectarem ao SAP Business Network.

Não é possível conectar ao SAP Business Network - PKIX Path Building Failed.docx26.37 KB

Aplicável a

SAP Business Network para compras e cadeia de suprimentos

Termos de uso  |  Copyright  |  Divulgação de segurança  |  Privacidade