问题场景：

SAP ECC --> SAP PI --> SAP Business Network

客户尝试将采购订单 (PO) 从 SAP ERP（企业资源计划）发送到 SAP Business Network，PO 在流程集成 (PI) 中因以下错误而失败。

[错误级别] 2[错误代码] ECC103[错误描述] Ariba SN 不可用[错误消息] 无法连接到 Ariba SNcom.ariba.asc.connector.exception.AribaSNException：无法连接到 Ariba SN

原因：javax.net.ssl.SSLHandshakeException：sun.security.validator.ValidatorException: PKIX 路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径

原因：sun.security.validator.ValidatorException: PKIX 路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
at sun.security.validator.Validator.validate(Validator.java:218)
在 com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 另外 30 个

原因：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

错误“sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标 ... 的有效认证路径”通常表示证书链不完整。如果未在受信任密钥库中安装受信任证书颁发机构的根证书，或者证书未安装在正确的路径上，则会发生这种情况。

我们向客户提供了以下建议，我们需要确保：

1. 证书正确安装在 JDK（Java 开发工具包）密钥库上，并且使用的根证书是 Ariba 信任的有效证书颁发机构 (CA)。
2. SAP Ariba 信任的 CA 详见：https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
3. CA 提供的 Ariba 相关证书和第三方证书将安装在信任存储视图 "TrustedCA" 中，并且密钥库视图必须具有所有权限。Ariba 始终建议使用“TrustedCAs”导入 Ariba 相关证书。
4. 需要在流程集成 (PI) 通信通道中提及密钥库视图 "TrustedCA"。

此外，我们还提供了以下解决方案，可解决该问题。

导入 SAP NetWeaver Adapter 安全证书的步骤如下：

1. 下载附加到工单的 VerisignCerts.zip 并解压缩内容。您会找到两个证书。
2. 在 NetWeaver 应用程序服务器上，从命令行发出以下命令：echo $JAVA_HOME，该命令提供 Java 主目录的位置。
   
   
   
   1. 转到 JAVA_HOME/bin 并发出以下命令：keytool –list –keystore /jre/lib/security/cacerts。（这是密钥库在 JAVA_HOME 目录中的位置）。
   2. 此命令应在密钥库中列出多个证书。如果不存在密钥库，则此密钥库不正确。
   3. 如果有多个证书，则可能是导入新证书的正确位置，并转到下一步。
      
      
      
3. 发出以下命令将证书导入到密钥库：
   
   
   
4. 1. 转到 Java_Home/bin；然后将 VeriSignClass3SecureServerCAG3.der 和 VeriSignClass3PublicPrimaryCertificationAuthorityG5.der 复制到 bin 目录。
   2. 在命令行上，输入：
      
      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
      
      
   3. 如果一切正确，它会提示您输入口令；口令为“changeit”。
   4. 对 sst 证书重复步骤 a 和 b。
      
      

接下来，必须重新启动 Ariba XI 适配器。如果仍有问题，请按照以下步骤重新启动 J2EE 服务器：

1. 1. 从 ICM（Internet 通信管理器）监控器的“管理”菜单中，重新启动 > 是。
   2. 发送硬关机 > 重启。

询问以解决证书问题的问题：

1. KeyStore (cacerts) 值是否已在配置属性中正确配置？
2. 密钥库/信任存储视图是否具有所需的所有权限？
3. 检查、验证证书并确保所有证书在 TrustedCA 中可用。然后，尝试使用 PO/发票进行测试。
4. 是否使用最新证书？
5. 生产环境和其他非生产环境是否正常工作？
6. 能否比较客户的网络、（端口）防火墙和连接设置？内容是否已更改？
7. 能否查看是否有任何网络/防火墙相关变更？JDK 密钥库或 JVM 是否发生任何更改？
8. 上次成功将订购单/发票发送到 AN/从 AN 接收的时间？
9. 是否完成了最近的 SAP PI 升级或任何其他升级？
10. 重新启动 SAP Business Network Adapter for SAP，并根据需要执行完整 PI 重新启动。

注释：

1) PI 通信通道中的 PI 升级/变更将覆盖证书信息，建议在系统/操作系统升级后检查证书和配置。

2) 网络/防火墙中的更改也会导致相同的错误，客户需要检查并验证证书是否已导入、是否已进行必要配置以及从 SAP PI 打开端口以连接到 SAP Business Network。

无法连接到 SAP Business Network - PKIX 路径构建失败。docx

26.37 KB

SAP Business Network 采购和供应链