Nota de suporte KB0395063
E-mail
Não é possível conectar ao SAP Business Network - Criação de caminho PKIX falhada
Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.
Problema

Cenário de problema:

SAP ECC --> SAP PI --> SAP Business Network

Os clientes estão tentando enviar um pedido de compra (PO) do SAP ERP (Enterprise Resource Planning) para o SAP Business Network e o pedido de compra falha no Process Integration (PI) com o seguinte erro.

[Nível de erro] 2[Código de erro] ECC103[Descrição do erro] Ariba SN não disponível[Mensagem de erro] Não é possível conectar ao Ariba SNcom.ariba.asc.connector.exception.AribaSNException: não é possível conectar ao Ariba SN

Causado por: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: Falha na criação do caminho PKIX: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o destino solicitado


Causado por: sun.security.validator.ValidatorException: Falha na criação do caminho PKIX: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o destino solicitado
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.valid(Validator.java:218)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.valid(X509TrustManagerImpl.java:126)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
em com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
em com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... mais 30


Causado por: sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o destino solicitado
sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Causa

O erro "sun.security.provider.certpath.SunCertPathBuilderException: impossível encontrar um caminho de certificação válido para o destino solicitado ..." geralmente significa que a cadeia de certificados não está completa. Isso pode ocorrer se não existir um certificado-raiz da autoridade de certificação confiável instalado no repositório de chaves confiável ou se os certificados não estiverem instalados no caminho correto.

Solução

Fornecemos as seguintes sugestões aos clientes e precisamos garantir:

  1. Que os certificados estão instalados corretamente na keystore JDK (kit de desenvolvimento Java) e o certificado-raiz que está sendo usado é uma autoridade de certificação (CA) válida em que a Ariba confia.
  2. As CAs que a Ariba confia podem ser encontradas em: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
  3. Certificados relacionados à Ariba e certificados de terceiros fornecidos por CAs devem ser instalados na visão Trust Store, "TrustedCAs" e a visão de repositório de chaves deve ter TODAS as permissões. A Ariba recomenda sempre o uso de "TrustedCAs" para importar certificados relacionados à Ariba.
  4. A visão de keystore, "TrustedCAs", precisa ser mencionada no canal de comunicação Process Integration (PI).

Além disso, fornecemos a seguinte solução, que resolveu o problema.

As etapas para importar os certificados de segurança para o adaptador do SAP NetWeaver são as seguintes:

  1. Baixe o VerisignCerts.zip, anexado ao caso e descompacte o conteúdo. Você encontra dois certificados.
  2. No servidor de aplicativos do NetWeaver, emita o seguinte comando da linha de comando: echo $JAVA_HOME, que lhe dá o local de sua página inicial do Java.


    1. Vá para seu JAVA_HOME/bin e emita o seguinte comando: keytool –list –keystore /jre/lib/security/cacerts. (Esta é a localização da keystore em seu diretório JAVA_HOME).
    2. Este comando deve listar vários certificados no keystore. Se não existir nenhum, este não é o keystore correto.
    3. Se ele tiver vários certificados, é provável que esse seja o local correto para importar os novos certificados e vá para a próxima etapa.


  3. Emita o seguinte comando para importar os certificados para o keystore:


    1. Vá para Java_Home/bin; em seguida, copie VeriSignClass3SecureServerCAG3.der e o VeriSignClass3PublicPrimaryCertificationAuthorityG5.der para o diretório bin.
    2. Na linha de comando, insira:

      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts

    3. Se tudo estiver correto, ele solicita uma senha; a senha é "changeit".
    4. Repita as etapas a e b para o certificado padrão.

Em seguida, você deve reiniciar o adaptador Ariba XI. Se você ainda tiver problemas, reinicie o servidor J2EE seguindo estas etapas:

    1. A partir do Monitor ICM (Internet Communication Manager), menu Admin, Reiniciar > Sim.
    2. Enviar Hard Shutdown > Com reinício.

Informações adicionais

Perguntas a serem feitas para solucionar problemas de certificado:

  1. O valor KeyStore (cacerts) está configurado corretamente nas propriedades de configuração?
  2. A visão KeyStore/Trust Store tem todas as permissões necessárias?
  3. Verifique, valide os certificados e certifique-se de que todos os certificados estão disponíveis em TrustedCAs. Em seguida, tente testar com um pedido/fatura.
  4. Os certificados mais recentes estão sendo usados?
  5. O PROD e outros ambientes não PROD funcionam corretamente?
  6. Você poderia, por favor, comparar as configurações de rede, firewall (portas) e conectividade para o cliente? Mudou alguma coisa?
  7. Você poderia, por favor, verificar então ver se alguma mudança relacionada ao Network-/ Firewall está lá? Alguma alteração ocorrida no JDK Key Store ou JVM?
  8. Quando foi enviada a última PO/fatura bem-sucedida para o AN/recebida do AN?
  9. Algum upgrade recente do SAP PI ou outros upgrades foram feitos?
  10. Reinicie o adaptador do SAP Business Network para SAP e reinicie o PI completo, se necessário.

Nota:

1) Upgrade/alterações de PI no canal de comunicação PI substituiriam as informações do certificado, e é aconselhável verificar os certificados e as configurações após os upgrades de sistema/SO.

2) As alterações na rede/firewall também resultariam no mesmo erro, e os clientes precisam verificar e validar se os certificados foram importados, se as configurações necessárias estão em vigor e as portas são abertas a partir do SAP PI para se conectarem ao SAP Business Network.

Não é possível conectar ao SAP Business Network - Criação de caminho PKIX Failed.docx26.37 KB

Aplicável a

SAP Business Network para compras e cadeia de suprimentos

Termos de uso  |  Copyright  |  Divulgação de segurança  |  Privacidade