Информация от службы поддержки KB0395063
Электронная почта
Невозможно установить соединение с SAP Business Network - не удалось создать путь PKIX
Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.
Проблема

Сценарий проблемы:

SAP ECC --> SAP PI --> SAP Business Network

Клиенты пытаются отправить заказ на закупку из SAP ERP (Enterprise Resource Planning) в SAP Business Network, и заказ на закупку не удается выполнить в Process Integration (PI) со следующей ошибкой.

[Уровень ошибки] 2[Код ошибки] ECC103[Описание ошибки] Ariba SN недоступен[Сообщение об ошибке] Не удается подключиться к Ariba SNcom.ariba.asc.connector.exception.AribaSNException: не удается подключиться к Ariba SN

Вызвано: javax.net.ssl.SSLHandshakeException: sun.security.validator.Validator.Exception: сбой построения пути PKIX: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации для запрошенного целевого объекта


Вызвано: sun.security.validator.ValidatorException: сбой построения пути PKIX: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенному целевому объекту
в sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
в sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
в sun.security.validator.Validator.validator.validate(Validator.java:218)
в com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
в com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
в com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
в com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... еще 30


Вызвано: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации для запрошенного целевого объекта
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
в sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

Причина

Ошибка "sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенной цели ..." обычно означает, что цепочка сертификатов не завершена. Это может произойти, если в хранилище доверенных ключей не установлен корневой сертификат доверенного центра сертификации или сертификаты установлены не по правильному пути.

Решение

Мы предоставили клиентам следующие предложения, и мы должны обеспечить:

  1. Правильная установка сертификатов в хранилище ключей JDK (Java Development Kit) и использование корневого сертификата является действительным центром сертификации, которому Ariba доверяет.
  2. ЦС, которым доверяет Ariba, можно найти по адресу: https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
  3. Связанные с Ariba сертификаты и сторонние сертификаты, предоставленные ЦС, должны быть установлены в представлении Trust Store, "TrustedCA" и ракурсе хранилища ключей должны иметь ВСЕ разрешения. Ariba всегда рекомендует использовать "TrustedCA" для импорта сертификатов, связанных с Ariba.
  4. Ракурс хранилища ключей "TrustedCA" должен быть упомянут в канале коммуникации интеграции процессов (PI).

Кроме того, мы предоставили следующее решение, которое устранило проблему.

Шаги по импорту сертификатов безопасности для адаптера SAP NetWeaver:

  1. Выгрузите VerisignCerts.zip, приложенный к случаю, и распакуйте содержимое. Вы найдете два сертификата.
  2. На сервере приложений NetWeaver выполните следующую команду из командной строки: echo $JAVA_HOME, которая указывает местоположение домашней страницы Java.


    1. Перейдите к JAVA_HOME/bin и выполните следующую команду: keytool –list –keystore /jre/lib/security/cacerts. (Это расположение хранилища ключей в каталоге JAVA_HOME.)
    2. Эта команда должна перечислять несколько сертификатов в хранилище ключей. Если не существует, это неправильное хранилище ключей.
    3. Если он имеет несколько сертификатов, вероятно, это место правильно для импорта новых сертификатов и перехода к следующему шагу.


  3. Выполните следующую команду для импорта сертификатов в хранилище ключей:


    1. Перейдите к Java_Home/bin, затем скопируйте VeriSignClass3SecureServerCAG3.der и VeriSignClass3PublicPrimaryCertificationAuthorityG5.der в каталог bin.
    2. В командной строке введите:

      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts

    3. Если все верно, система запрашивает пароль; пароль "changeit".
    4. Повторите шаги a и b для сертификата sst.

Затем необходимо перезапустить адаптер Ariba XI. При наличии проблем перезапустите сервер J2EE, выполнив следующие шаги:

    1. Из монитора ICM (Internet Communication Manager), меню администрирования Перезапуск > Да.
    2. Отправить жесткий останов > С перезапуском.

Дополнительная информация

Вопросы по устранению проблем с сертификатами:

  1. Правильно ли настроено значение хранилища ключей (cacerts) в свойствах конфигурации?
  2. Есть ли в ракурсе хранилища ключей/Trust Store все необходимые полномочия?
  3. Проверьте, проверьте сертификаты и убедитесь, что все сертификаты доступны в TrustedCAs. После этого попробуйте протестировать заказ на закупку/счет-фактуру.
  4. Используются ли последние сертификаты?
  5. Правильно ли работают продуктивные и другие непродуктивные среды?
  6. Не могли бы вы сравнить настройки сети, брандмауэра (портов) и подключения для клиента? Что-нибудь изменилось?
  7. Не могли бы вы, пожалуйста, проверить, есть ли какие-либо изменения, связанные с Network-/ Firewall? Произошли какие-либо изменения в хранилище ключей JDK или JVM?
  8. Когда последний успешный заказ на закупку / счет-фактура отправлен в AN / получен из AN?
  9. Выполнены ли какие-либо недавние обновления SAP PI или какие-либо другие обновления?
  10. Перезапустите SAP Business Network Adapter для SAP и при необходимости перезапустите PI полностью.

Примечание.

1) Апгрейд PI / Изменения в коммуникационном канале PI перезаписывают информацию о сертификате, и рекомендуется проверять сертификаты и конфигурации после обновления системы/ОС.

2) Изменения в сети/брандмауэре также приведут к той же ошибке, и клиентам необходимо проверить, импортированы ли сертификаты, выполнены ли необходимые настройки и открыты ли порты из SAP PI для подключения к SAP Business Network.

Не удается подключиться к SAP Business Network - PKIX: создание пути не выполнено. docx26,37 КБ

Применимо к

SAP Business Network for Procurement & Supply Chain

Условия использования  |  Авторские права  |  Безопасность  |  Конфиденциальность