Autor Tema: [SOLUCIONADO] Error con certificados  (Leído 1075 veces)

0 Usuarios y 1 Visitante están viendo este tema.

arodriguez

  • Newbie
  • *
  • Mensajes: 7
    • Ver Perfil
  • Institución: Unlu
  • Nombre y apellido: Agustin Rodriguez
  • Sistema: pilaga
  • Utilizo algun sistéma del SIU: Sí
[SOLUCIONADO] Error con certificados
« on: Febrero 28, 2020, 09:55:57 am »
Actualizamos a la ultima versión en master en usuarios y portal
e intentar ingresar a arai usuarios gestión, nos da el siguiente error en el log

[E[size=78%]RROR][toba] toba_error_seguridad: Error Interno La configuración de seguridad requiere la existencia de archivos certificado y clave privada para el SP[/size]

y en el sistema aparece error interno

En el env aparecen configuraciones para los certificados del idp, no para el sp
« Última Modificación: Junio 04, 2020, 03:34:12 pm por Sergio F. Vier »

Sergio F. Vier

  • Desarrollador SIU
  • Moderador Global
  • *****
  • Mensajes: 854
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Sergio Fabian Vier
Re:Error con certificados
« Respuesta #1 on: Febrero 28, 2020, 11:22:04 am »
Hola Agustín!

Es un cambio en las configuraciones de seguridad del framework Toba. Para que les funcione, momentáneamente, deben agregar la siguiente configuración en el archivo instalacion/saml_onelogin.ini:


Código: [Seleccionar]
[basicos]
....
verifyPeer=false

Vamos a tratar de agregar este cambio en un siguiente hotfix. Saludos!
happy coding!!

arodriguez

  • Newbie
  • *
  • Mensajes: 7
    • Ver Perfil
  • Institución: Unlu
  • Nombre y apellido: Agustin Rodriguez
  • Sistema: pilaga
  • Utilizo algun sistéma del SIU: Sí
Re:Error con certificados
« Respuesta #2 on: Febrero 28, 2020, 02:34:45 pm »
Gacias ese bug ya lo solucionamos, pero ahora te comentamos otro inconveniente

Desde huarpe cuando intentamos editar el perfil de algún usuario, nos da un error 60 de curl

editando el archivo
/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php

con la variable
CURLOPT_SSL_VERIFYPEER  = false

De esta forma se soluciona.

Sergio F. Vier

  • Desarrollador SIU
  • Moderador Global
  • *****
  • Mensajes: 854
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Sergio Fabian Vier
Re:Error con certificados
« Respuesta #3 on: Marzo 02, 2020, 11:18:05 am »
Hola Agustin,

Gacias ese bug ya lo solucionamos, pero ahora te comentamos otro inconveniente

Bien.

Desde huarpe cuando intentamos editar el perfil de algún usuario, nos da un error 60 de curl

La interacción en este sentido es: Huarpe, como cliente de api REST, se intenta conectar a AraiUsuarios, que es servidor de api REST. Este error es que el cliente,  al intentar conectarse vía URL al servidor, no puede validar el certificado de SSL que está utilizando dicho servidor.

editando el archivo
/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php

con la variable
CURLOPT_SSL_VERIFYPEER  = false

De esta forma se soluciona.

Mucho cuidado en este punto, están desactivando toda validación de SSL que realiza el cliente. O sea, se puede dar una situación de ataque "man-in-the-middle" donde le pueden reemplazar el servidor por otro y uds no se darían cuenta. No es recomendable deshabilitar esta verificación SSL a menos que uds. sepan exactamente que están haciendo y tengan motivos reales para ello.

Saludos!
happy coding!!

arodriguez

  • Newbie
  • *
  • Mensajes: 7
    • Ver Perfil
  • Institución: Unlu
  • Nombre y apellido: Agustin Rodriguez
  • Sistema: pilaga
  • Utilizo algun sistéma del SIU: Sí
Re:Error con certificados
« Respuesta #4 on: Marzo 02, 2020, 03:05:22 pm »
Hola seguimos teniendo algunos inconvenientes.

Cuando intentamos dar de alta un usuario desde un sp,  genera el siguiente error:
cURL error 60: SSL certificate problem: self signed certificate (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)\nGET /gestion/rest/usuarios?excluir_aplicacion=siu_mapuche-5.siu-mapuche HTTP/1.1\nUser-Agent: GuzzleHttp/6.3.3 curl/7.64.0 PHP/7.1.33-13+0~20200224.34+debian10~1.gbp2471e1\nAuthorization: Basic bWFwdWNoZTpjbGF2ZU1hcHUzQA==\nHost: portal-p.unlu.edu.ar
 y des habilitamos el certificado seguro en huarpe y en usuarios
como estamos en prueba, somos cocientes del riesgo, pero no contamos con certificados validos

Cuando vemos el error.log de apache, nos da el siguiente error

/var/log/apache2/error.log:14919:[Mon Mar 02 13:56:21.436453 2020] [php7:notice] [pid 11159] [client 170.210.96.26:42336] simplesamlphp ERR [2c59049fad] Error report with id bbd46deb generated.

y buscamos en todo el disco el  id bbd46deb y no lo encontramos, donde configuramos para localizar ese log

por otro lado cuando sincronizamos mapuche la configuración rest en el instructivo dice que hay que modificar  e archivo li__produccion/p__mapuche/rest/rest_arai_usuarios/cliente.ini, pero en realidad hay que modificar
/i__produccion/p__toba_usuarios/rest/rest_arai_usuarios/cliente.ini

Sergio F. Vier

  • Desarrollador SIU
  • Moderador Global
  • *****
  • Mensajes: 854
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Sergio Fabian Vier
Re:Error con certificados
« Respuesta #5 on: Marzo 03, 2020, 02:35:34 pm »
Agustín,

En realidad, el error que uds tienen es este:

Código: [Seleccionar]
cURL error 60: SSL certificate problem: self signed certificate
No hay otro, y se refiere a lo que charlamos previamente: el cliente no puede verificar la validez de un certificado SSL.

En el caso de uds, bien lo aclarás, están armando un ambiente de pruebas y "estimo" utilizan un certificado  SSL que uds mismos generaron y se lo configuraron al servidor apache donde corre arai-usuarios (para tener soporte de HTTPS). Lo que les estaría faltando para completar su configuración de certificados SSL autofirmados, es hacer que el cliente "confíe" y pueda validar el certificado autofirmado que tiene el servidor. Esto normalmente sería algo así como copiar en el equipo que actúa como cliente (donde tienen instalado Huarpe) el certificado raiz o CA con el que autofirmaron el certificado SSL que crearon para el servidor apache donde ejecutan arai-usuarios.

Para corroborar que el cliente puede conectarse "correctamente" al servidor, vía api rest, pueden probar tirar unos comandos en consola tipo
Código: [Seleccionar]
curl https://url-arai-usuarios.edu.ar/alias-si-configuraron/rest/usuarios y no tendría que tirarle el mensaje de error 60 antes mencionado.

Saludos!
happy coding!!