问题场景：

SAP ECC --> SAP PI --> SAP Business Network

客户正在尝试将订购单 (PO) 从 SAP ERP（企业资源计划）发送到 SAP Business Network，且 PO 在流程集成 (PI) 中失败，并显示以下错误。

[错误级别] 2[错误代码] ECC103[错误描述] Ariba SN 不可用[错误消息] 无法连接到 Ariba SNcom.ariba.asc.connector.exception.AribaSNException：无法连接到 Ariba SN

原因：javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX 路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径

原因：sun.security.validator.ValidatorException: PKIX 路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径
在 sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:323)
在 sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:217)
在 sun.security.validator.Validator.validate(Validator.java:218)
在 com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
位于 com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
位于 com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
位于 com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1185)
... 另外 30 个

原因：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径
在 sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
位于 java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
在 sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:318)

错误，“sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标 ... 的有效认证路径”通常表示证书链不完整。如果未在受信任的密钥库中安装受信任证书颁发机构的根证书，或者未在正确的路径上安装证书，则会发生这种情况。

我们向客户提供了以下建议，我们需要确保：

1. 证书是否正确安装在 JDK（Java 开发工具包）密钥库上，正在使用的根证书是 Ariba 信任的有效证书颁发机构 (CA)。
2. 有关 Ariba 信任的 CA，请访问：https://connect.ariba.com/AC_Content_Details_Page/1%2C%2C161_142424%2C00.html
3. CA 提供的 Ariba 相关证书和第三方证书将安装在信任存储视图“TrustedCA”中，并且密钥库视图必须具有所有权限。Ariba 始终建议使用“TrustedCA”导入与 Ariba 相关的证书。
4. 需要在流程集成 (PI) 通信通道中提及密钥库视图 "TrustedCA"。

此外，我们还提供了以下解决此问题的解决方案。

导入 SAP NetWeaver Adapter 安全证书的步骤如下：

1. 下载案例附带的 VerisignCerts.zip 并解压缩内容。您会找到两个证书。
2. 在 NetWeaver 应用程序服务器上，从命令行发出以下命令：echo $JAVA_HOME，该命令提供 Java 主页的位置。
   
   
   
   1. 转到 JAVA_HOME/bin 并发出以下命令：keytool –list –keystore /jre/lib/security/cacerts。（这是密钥库在 JAVA_HOME 目录中的位置）。
   2. 此命令应列出密钥库中的多个证书。如果不存在密钥库，则密钥库不正确。
   3. 如果有多个证书，这可能是导入新证书的正确位置，然后转到下一步。
      
      
      
3. 发出以下命令以将证书导入到密钥库：
   
   
   
4. 1. 转到 Java_Home/bin；然后将 VeriSignClass3SecureServerCAG3.der 和 VeriSignClass3PublicPrimaryCertificationAuthorityG5.der 复制到 bin 目录。
   2. 在命令行上，输入：
      
      keytool –import –trustcacerts –alias certfile –file VeriSignClass3SecureServerCAG3.der -keystore <JAVA_HOME>/jre/lib/security/cacerts
      
      
   3. 如果一切正确，则会提示您输入口令；口令为 "changeit"。
   4. 对 sst 证书重复步骤 a 和 b。
      
      

接下来，您必须重新启动 Ariba XI 适配器。如果仍有问题，请按照以下步骤重新启动 J2EE 服务器：

1. 1. 从 ICM (Internet Communication Manager) 监控器的“管理”菜单中，重新启动 > 是。
   2. 发送硬关闭 > 含重新启动。

解决证书问题需要解决的问题：

1. 在配置属性中是否正确配置了密钥库 (cacerts) 值？
2. 密钥库/信任存储视图是否需要所有权限？
3. 检查、验证证书并确保所有证书在 TrustedCA 中可用。然后，尝试使用 PO/发票进行测试。
4. 是否使用最新证书？
5. PROD 和其他非生产环境是否正常工作？
6. 能否为客户比较网络、（端口）防火墙和连接设置？内容是否已更改？
7. 请问你能不能这样检查一下是否有任何与网络/防火墙相关的更改？对 JDK 密钥库或 JVM 进行了任何更改？
8. 上次成功将 PO/发票发送到 AN/从 AN 收到发票是什么时候？
9. 最近是否完成了 SAP PI 升级或任何其他升级？
10. 重新启动 SAP 的 SAP Business Network 适配器，并根据需要重新启动完整的 PI。

注释：

1) PI 升级/PI 通信通道的更改将覆盖证书信息，建议在系统/操作系统升级后检查证书和配置。

2) 网络/防火墙中的更改也会导致相同的错误，客户需要检查并验证证书是否已导入，是否已进行必要的配置，并从 SAP PI 打开端口以连接到 SAP Business Network。

无法连接到 SAP Business Network - PKIX 路径构建 Failed.docx

26.37 KB

SAP Business Network 采购和供应链