Cannot Connect to SAP Business Network - PKIX Path Building Failed

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Информация от службы поддержки KB0395063

Не удается подключиться к SAP Business Network - сбой построения пути PKIX

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Проблема

Сценарий проблемы:

SAP ECC --> SAP PI --> SAP Business Network

Клиенты пытаются отправить заказ на закупку из SAP ERP (планирование ресурсов предприятия) в SAP Business Network, и заказ на закупку не удается выполнить в Process Integration (PI) со следующей ошибкой.

[Уровень ошибки] 2[Код ошибки] ECC103[Описание ошибки] Ariba SN недоступен[Сообщение об ошибке] Не удается подключиться к Ariba SNcom.ariba.asc.connector.exception.AribaSNException: не удается подключиться к Ariba SN

Вызвано: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: сбой построения пути PKIX: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенному целевому объекту

Вызвано: sun.security.validator.ValidatorException: сбой построения пути PKIX: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенному целевому объекту
в sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
в sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
в sun.security.validator.Validator.validate(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... еще 30

Вызвано: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенному целевому объекту
в sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
на java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
в sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Причина

Ошибка "sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенной цели ..." обычно означает, что цепочка сертификатов не завершена. Это может произойти, если в хранилище доверенных ключей не установлен корневой сертификат доверенного центра сертификации или сертификаты не установлены по правильному пути.

Решение

Мы предоставили клиентам следующие предложения, и мы должны обеспечить:

Правильная установка сертификатов в хранилище ключей JDK (Java Development Kit) и использование корневого сертификата является действительным центром сертификации (CA), которым доверяет Ariba.
УЦ, доверяемые Ariba, можно найти по адресу: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
Сертификаты, связанные с Ariba, и сертификаты третьих лиц, предоставленные центрами сертификации, должны быть установлены в ракурсе Trust Store, TrustedCAs, а представление хранилища ключей должно иметь ВСЕ разрешения. Ariba всегда рекомендует использовать TrustedCAs для импорта сертификатов, связанных с Ariba.
Ракурс хранилища ключей "TrustedCAs" должен быть указан в канале коммуникации интеграции процессов (PI).

Кроме того, мы предоставили следующее решение, которое устранило проблему.

Для импорта сертификатов безопасности для адаптера SAP NetWeaver выполните следующие шаги:

Загрузите VerisignCerts.zip, прикрепленный к Обращению, и распакуйте его содержимое. Вы найдете два сертификата.
На сервере приложений NetWeaver выведите следующую команду из командной строки: echo $JAVA_HOME, который предоставляет местоположение домашней страницы Java.
1. Перейдите к JAVA_HOME/bin и выполните следующую команду: keytool –list –keystore /jre/lib/security/cacerts. (Это местоположение хранилища ключей в каталоге JAVA_HOME.)
2. Эта команда должна отображать ряд сертификатов в хранилище ключей. Если их нет, это неверное хранилище ключей.
3. Если он имеет несколько сертификатов, скорее всего, это правильное местоположение для импорта новых сертификатов и перехода к следующему шагу.
Выполните следующую команду, чтобы импортировать сертификаты в хранилище ключей:
1. Перейдите в Java_Home/bin; затем скопируйте VeriSignClass3SecureServerCAG3.der и VeriSignClass3PublicPrimaryCertificationAuthorityG5.der в каталог bin.
2. В командной строке введите:
  
  keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
3. Если все верно, выводится запрос пароля; пароль – "changeit".
4. Повторите шаги a и b для сертификата sst.

Затем необходимо перезапустить адаптер Ariba XI. При возникновении проблем перезапустите сервер J2EE, выполнив следующие шаги:

1. Из ICM (Internet Communication Manager) Monitor, меню Admin, Restart > Yes.
2. Отправить жесткий простой > С перезапуском.

Дополнительная информация

Вопросы по устранению проблем с сертификатами:

Правильно ли настроено значение хранилища ключей (cacerts) в свойствах конфигурации?
Есть ли у ракурса хранилища ключей/доверенного хранилища все необходимые разрешения?
Проверьте, проверьте Сертификаты и убедитесь, что все Сертификаты доступны в TrustedCAs. После этого попробуйте выполнить тестирование с использованием заказа на закупку/счета на оплату.
Используются ли последние сертификаты?
Правильно ли работают PROD и другие непродуктивные среды?
Не могли бы вы, пожалуйста, сравнить настройки сети, (портов) брандмауэра и соединения для клиента? Что-нибудь изменилось?
Проверьте наличие изменений, связанных с сетями/брандмауэрами. Произошли ли изменения в хранилище ключей JDK или JVM?
Когда последний успешный заказ на закупку / счет-фактура отправлен в AN / получен из AN?
Выполнен ли какой-либо недавний апгрейд SAP PI или какие-либо другие обновления?
Перезапустите SAP Business Network Adapter for SAP и при необходимости выполните полный перезапуск PI.

Примечание.

1) Апгрейд PI / изменения в канале связи PI перезаписывают информацию о сертификате, и после обновления системы/ОС рекомендуется проверить сертификаты и конфигурации.

2) Изменения в сети / брандмауэре также приведут к той же ошибке, и клиентам необходимо проверить, импортированы ли сертификаты, выполнены ли необходимые конфигурации и открыты ли порты из SAP PI для подключения к SAP Business Network.

Не удается подключиться к SAP Business Network - сбой построения пути PKIX. docx

26,37 КБ

Применимо к

SAP Business Network for Procurement & Supply Chain