[SOLUCIONADO] Error con certificados

Actualizamos a la ultima versión en master en usuarios y portal
e intentar ingresar a arai usuarios gestión, nos da el siguiente error en el log

[ERROR][toba] toba_error_seguridad: Error Interno La configuración de seguridad requiere la existencia de archivos certificado y clave privada para el SP

y en el sistema aparece error interno

En el env aparecen configuraciones para los certificados del idp, no para el sp

Hola Agustín!

Es un cambio en las configuraciones de seguridad del framework Toba. Para que les funcione, momentáneamente, deben agregar la siguiente configuración en el archivo instalacion/saml_onelogin.ini:


[basicos]
....
verifyPeer=false

Vamos a tratar de agregar este cambio en un siguiente hotfix. Saludos!

Gacias ese bug ya lo solucionamos, pero ahora te comentamos otro inconveniente

Desde huarpe cuando intentamos editar el perfil de algún usuario, nos da un error 60 de curl

editando el archivo
/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php

con la variable
CURLOPT_SSL_VERIFYPEER = false

De esta forma se soluciona.

Hola Agustin,

Bien.

La interacción en este sentido es: Huarpe, como cliente de api REST, se intenta conectar a AraiUsuarios, que es servidor de api REST. Este error es que el cliente, al intentar conectarse vía URL al servidor, no puede validar el certificado de SSL que está utilizando dicho servidor.

Mucho cuidado en este punto, están desactivando toda validación de SSL que realiza el cliente. O sea, se puede dar una situación de ataque “man-in-the-middle” donde le pueden reemplazar el servidor por otro y uds no se darían cuenta. No es recomendable deshabilitar esta verificación SSL a menos que uds. sepan exactamente que están haciendo y tengan motivos reales para ello.

Saludos!

Hola seguimos teniendo algunos inconvenientes.

Cuando intentamos dar de alta un usuario desde un sp, genera el siguiente error:
cURL error 60: SSL certificate problem: self signed certificate (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)\nGET /gestion/rest/usuarios?excluir_aplicacion=siu_mapuche-5.siu-mapuche HTTP/1.1\nUser-Agent: GuzzleHttp/6.3.3 curl/7.64.0 PHP/7.1.33-13+0~20200224.34+debian10~1.gbp2471e1\nAuthorization: Basic bWFwdWNoZTpjbGF2ZU1hcHUzQA==\nHost: portal-p.unlu.edu.ar
y des habilitamos el certificado seguro en huarpe y en usuarios
como estamos en prueba, somos cocientes del riesgo, pero no contamos con certificados validos

Cuando vemos el error.log de apache, nos da el siguiente error

/var/log/apache2/error.log:14919:[Mon Mar 02 13:56:21.436453 2020] [php7:notice] [pid 11159] [client 170.210.96.26:42336] simplesamlphp ERR [2c59049fad] Error report with id bbd46deb generated.

y buscamos en todo el disco el id bbd46deb y no lo encontramos, donde configuramos para localizar ese log

por otro lado cuando sincronizamos mapuche la configuración rest en el instructivo dice que hay que modificar e archivo li__produccion/p__mapuche/rest/rest_arai_usuarios/cliente.ini, pero en realidad hay que modificar
/i__produccion/p__toba_usuarios/rest/rest_arai_usuarios/cliente.ini

Agustín,

En realidad, el error que uds tienen es este:

cURL error 60: SSL certificate problem: self signed certificate 

No hay otro, y se refiere a lo que charlamos previamente: el cliente no puede verificar la validez de un certificado SSL.

En el caso de uds, bien lo aclarás, están armando un ambiente de pruebas y “estimo” utilizan un certificado SSL que uds mismos generaron y se lo configuraron al servidor apache donde corre arai-usuarios (para tener soporte de HTTPS). Lo que les estaría faltando para completar su configuración de certificados SSL autofirmados, es hacer que el cliente “confíe” y pueda validar el certificado autofirmado que tiene el servidor. Esto normalmente sería algo así como copiar en el equipo que actúa como cliente (donde tienen instalado Huarpe) el certificado raiz o CA con el que autofirmaron el certificado SSL que crearon para el servidor apache donde ejecutan arai-usuarios.

Para corroborar que el cliente puede conectarse “correctamente” al servidor, vía api rest, pueden probar tirar unos comandos en consola tipo

curl https://url-arai-usuarios.edu.ar/alias-si-configuraron/rest/usuarios

y no tendría que tirarle el mensaje de error 60 antes mencionado.

Saludos!