[SOLUCIONADO] error al firmar

Buenas, estamos queriendo realizar el firmado de documentos con el siu firmador, tanto como desde el portal huarpe como desde dentro de sudocu, nos arroja un error diciendo que “no se puede acceder a la API de arai-documentos”.

adjunto pantalla.

Esto ocurre desde que pasamos a la version 1.2.0 de EEI, ya que antes podíamos firmar desde las 2 formas mencionadas anteriormente.


error-firmador.png

error-firmador.png

Hola!

En principio, el firmador de escritorio necesita llegar a la URL pública de la api de arai-docs (la que llamamos frontend). En esta doc hay algunos scripts que pueden ser de utilidad para verificar si les quedó bien configurado el acceso público a la api.

Saludos!

Buenas Sergio, gracias por responder.

Mira te publico lo que hice

luis@luis:~/tests/tests$ ./10-status-frontend.sh

===== Prueba desde un host fuera de la red del servidor =====

** La siguiente prueba esta enfocada a validar los endpoints
** de Araí-Documentos, de acuerdo a si deben estar accesibles o no
** La prueba debe ejecutarse desde una pc (no dentro del servidor)

Ingrese url base del servidor por ejemplo para https://uunn.edu.ar
Enter host: expedientes.unne.edu.ar
Ingrese path de servicios de Araí-Documentos. Por ejemplo ‘/docs’
Enter path: /docs
‘expedientes.unne.edu.ar/docs’’ es correcta? (Y/N): Y
Obtenido Esperado Descripcion
302 502 Bad Gateway: No se debe permitir acceso al endpoint
302 502 Bad Gateway: No se debe permitir acceso al endpoint
302 400 Da error pero se puede acceder al endpoint

========================== Caution ==========================
[WARNING] Los endpoints rest/backend/* de Araí-Documentos no debe ser publicos
[WARNING] Los endpoints rest/backend/* de Araí-Documentos no debe ser publicos
[ERROR] La API rest/frontend/* de Araí-Documentos debe estar disponible para acceder publicamente

nosotros nunca deshabilitamos la API de docs para el consumo, solo actualizamos la versión, pasamos de la 1.1.4 a la 1.2.0

Buenas!

Nos pasarias la config que tenes en config-api-server.json?

Especificamente la parte de firma:

“firma”: {
“modelo_autorizacion”: “siu”,
“api”: “http://docs-api/docs/rest/backend”,
“api_front”: “https://uunn.local/docs/rest/frontend”,
“username”: “bla”
}

Saludos!

Dario, te paso la conf que tenemos que es donde nos arroja el error

“firma”: {
“modelo_autorizacion”: “siu”,
“api”: “http://docs-api/docs/rest/backend”,
“api_front”: “https://expedientes.unne.edu.ar/docs/rest/frontend”,
“username”: “documentos”
}

Hola Sergio,

Si navegas hacia “https://expedientes.unne.edu.ar/docs/rest/frontend/info” e incluis la info de autenticacion con la que cuenta Sudocu (username + secret), que te devuelve?
Digamos llega sin problemas?

Saludos

Buenas, adjunto lo que me devuelve al ingresar “https://expedientes.unne.edu.ar/docs/rest/frontend/info


Screenshot_20211119_091401.png

Screenshot_20211119_091401.png

Hola Sergio!

Realizando algunas pruebas externas encontramos esto:

This server's certificate chain is incomplete. Grade capped to B.

Se puede ver que tienen algún inconveniente con la chain de certificados SSL que tienen configurado en Traefik. El firmador de escritorio como aplicación Java, falla si no puede conectarse correctamente vía HTTPS.

Para confirmar esto, pueden revisar en la PC desde donde ejecutan el firmador desktop, les genera un archivo de logs similar a /tmp/firmador.log. Pueden adjuntarlo así vemos en detalle.

Saludos!

Buenas Sergio, te adjunto el log.


firmador.txt (24.5 KB)

Está devovliendo la cadena incompleta ¿Tienen un proxy o algo adelante que pueda estar filtrando?

Tema aparte se les vencio el certificado hace 2 dias.
Si pueden renuevenlo asi no se cruzan los errores de 2 cosas.

Saludos!

Buenas, si tenemos un proxy, pero tenemos agregado en las excepciones a la URL del stack de EEI.
Y con respecto al certificado, ya lo actualice.

¿Qué proxy están usando?¿Como lo están configurando?
Estoy casi seguro que algo está metiendo ruido y no tiene configurados los certificados intermedios. Sino la parte de lets encrypt deberia salir andando de una.

Buenas, hemos podido solucionar el problema.

Era problema del certificado que generamos-

Saludos- y muchas gracias