Aplicativo do Serpro

fcosta

Boa Tarde, estou com problema de inicilizar o assinador do Serpro, fica em loop e não monta o aplicativo. Todas as estações tem habilitado a opção proxy. e também segue abaixo o arquivo de log.

2023-01-03 15:23:10 WARN Configuration:251 - Nenhum driver encontrado
2023-01-03 15:23:10 INFO ReadConfig:315 - Arquivo não encontrado:
C:\Users\backup.serpro\signer_config.properties (O sistema não pode encontrar o arquivo especificado)
2023-01-03 15:23:10 INFO ReadConfig:394 - Criado Arquivo de configurações
2023-01-03 15:23:10 INFO Main:575 - Verificando se já executando novos servers...
2023-01-03 15:23:11 INFO xnio:104 - XNIO version 3.3.8.Final
2023-01-03 15:23:11 INFO nio:55 - XNIO NIO Implementation Version 3.3.8.Final
2023-01-03 15:23:11 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-03 15:31:19 WARN Configuration:251 - Nenhum driver encontrado
2023-01-03 15:31:19 INFO ReadConfig:118 - Assinador com MSCAPI OFF: false Signer com MSCAPI: true
2023-01-03 15:31:19 INFO ReadConfig:137 - Cache Local: C:\Users\backup.serpro
2023-01-03 15:31:19 INFO ReadConfig:138 - Cache Index: .crl_index
2023-01-03 15:31:19 INFO ReadConfig:139 - LCR Online?: false
2023-01-03 15:31:19 INFO ReadConfig:141 - LCR cache: true
2023-01-03 15:31:19 INFO ReadConfig:152 - Estatísticas: true
2023-01-03 15:31:19 INFO ReadConfig:292 - LPA_Online: false
2023-01-03 15:31:19 INFO Main:575 - Verificando se já executando novos servers...
2023-01-03 15:31:19 INFO xnio:104 - XNIO version 3.3.8.Final
2023-01-03 15:31:19 INFO nio:55 - XNIO NIO Implementation Version 3.3.8.Final
2023-01-03 15:31:20 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-03 16:02:50 WARN Configuration:251 - Nenhum driver encontrado
2023-01-03 16:02:50 INFO ReadConfig:118 - Assinador com MSCAPI OFF: false Signer com MSCAPI: true
2023-01-03 16:02:50 INFO ReadConfig:137 - Cache Local: C:\Users\backup.serpro
2023-01-03 16:02:50 INFO ReadConfig:138 - Cache Index: .crl_index
2023-01-03 16:02:50 INFO ReadConfig:139 - LCR Online?: false
2023-01-03 16:02:50 INFO ReadConfig:141 - LCR cache: true
2023-01-03 16:02:50 INFO ReadConfig:152 - Estatísticas: true
2023-01-03 16:02:50 INFO ReadConfig:292 - LPA_Online: false
2023-01-03 16:02:50 INFO Main:575 - Verificando se já executando novos servers...
2023-01-03 16:02:50 INFO xnio:104 - XNIO version 3.3.8.Final
2023-01-03 16:02:50 INFO nio:55 - XNIO NIO Implementation Version 3.3.8.Final
2023-01-03 16:02:50 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166

acamoura

@fcosta como você tem um proxy fazendo web filter ai pode ser que seja necessário criar uma regra em seu proxy / firewall liberando a porta 65166 para o endereço assinador-desktop.serpro.gov.br por não ser uma porta padrão http(80) / https(443)

Maugusto

Estou com o mesmo problema aqui na empresa.
O ponto interessante é que este endereço retorna loopback ao pingar.

ping assinador-desktop.serpro.gov.br

Disparando assinador-desktop.serpro.gov.br [127.0.0.1] com 32 bytes de dados:
Resposta de 127.0.0.1: bytes=32 tempo<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 tempo<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 tempo<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 tempo<1ms TTL=128

Mesmo assim solicitei uma liberação em nosso firewall para essa porta 65166. Qualquer novidade posto aqui.

Ricardo.Rocha

@maugusto Pelo que vi o hosts (c:\windows\system32\drivers\etc\hosts esta definido como 127.0.0.1 assinador-desktop.serpro.gov.br, ou seja tua maquina responde por este endereço.
Tentei liberar varios sites do serpro (serpro.gov.br, estaleiro.serpro.gov.br) no meu proxy para ver se funcionava, mas tb nao deu certo.
Liberei a porta 65166, mas também não funcionou.

acamoura

No manual do Assinador da Serpro em manual_usuario_assinador_desktop.pdf nas páginas 44 e 45 fala sobre configurações de proxy caso você tenha filtros web ativos via proxy em seu ambiente.

Verifique se você setar o IP e a Porta do Proxy no aplicativo, salvando e testando ele começa a funcionar e comunicar de maneira correta e 100% funcional.

Maugusto

Obrigado pelo compartilhamento @acamoura e @Ricardo-Rocha.

Infelizmente no meu caso a aplicação nem chega a abrir, com isso não consigo configurar o proxy.

Abrindo o log da aplicação SERPRO eu vejo o erro abaixo:

2023-01-06 15:02:51 INFO Main:575 - Verificando se já executando novos servers...
2023-01-06 15:02:51 INFO xnio:104 - XNIO version 3.3.8.Final
2023-01-06 15:02:51 INFO nio:55 - XNIO NIO Implementation Version 3.3.8.Final
2023-01-06 15:02:51 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-06 15:02:51 ERROR SignerServerSSLNew:247 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2023-01-06 15:02:51 ERROR SignerServerSSLNew:139 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2023-01-06 15:02:51 ERROR SignerServerSSLNew:83 - Erro ano iniciar SSL server NewPKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed:

Outro ponto interessante, tentei acessar o manual que voce @acamoura compartilhou e um erro de certificado é aprensentado em nossos computadores da empresa:

Estou em conferencia com meu time tecnico realizando varios testes, qualquer novidade posto aqui.

acamoura

@maugusto como nem o site da Serpro em site seguro https está abrindo de forma correta, vai ter algo configurado errado em seu web proxy que não está sabendo lidar com as conexões seguras SSL no site da Serpro.

Quando você resolver o que pode estar de errado em seu proxy para acesso via browser na URL base Site Serpro em conexões SSL seguras é bem provável que o seu Assinador Digital irá abrir com sucesso.

Ricardo.Rocha

@acamoura Bom dia, aqui eu acesso o site da serpro sem problemas de segurança no certificado. Coloquei meu note em outra rede (sem proxy) e o sistema abriu, configurei o proxy no sistema, mas quando eu volto para minha rede, o sistema não abre.
Acredito que seja algum link que o proxy esteja bloqueando...mas qual seria???

acamoura

@ricardo-rocha tente analisar os logs de realtime do proxy a partir do IP que o seu notebook está setado e assim verifique quais endereços podem estar gerando DENIED.

Caso apareça os endereço como bloqueados (DENIED) você tem que liberar eles em seu web filter proxy.

acamoura

This post is deleted!

dfnsiplus

Bom dia caros colegas, alguém conseguiu alguma solução?

Maugusto

Bom dia,

Ainda não conseguimos resolver aqui na empresa. Como o time de firewall e proxy nos confirmou que não identificou nenhum bloqueio vindo dos IPs de origem que informamos, escalei este caso junto ao nosso time de segurança end point. Como a gerencia de nossos computadores e rede não é local, temos um pouco mais de dificuldade para resolver este tipos de caso. Eu acredito que o problema esteja ocorrendo devido a um bloqueio de segurança local como antivirus e firewall do windows. Infelizmente nao tenho permissões para desabilitar, por acaso voces teriam esse nivel de acesso para realizarmos um teste?

dfnsiplus

@maugusto Olá, pode ser do firewall do windows, não testei, vou fazer um teste e posto aqui os resultados.
O app é estranho, ele cria um web server na estação, e aponta pra ele mesmo, no meu cliente resolvi dar a opção de eles desativar o Proxy da estação, daí o assinador funciona, é uma rede pequena, não vejo grandes problemas,

Ricardo.Rocha

@acamoura Ja olhei os logs do proprio sistema e do firewall da rede (tenho o squid) e não aparece nada.

Ricardo.Rocha

@dfnsiplus firewall do windows não é, pois se eu estou fora da minha rede (sem o proxy) o sistema abre normal.

dfnsiplus

@ricardo-rocha
Exato, eu voltei aqui por esse motivo, mas de qualquer forma eu testei, tambem nao funciona, somente se desativar o Proxy.

Maugusto

Pessoal tava falando com meu time de desenvolvimento, eles me mandaram um link bem interessante.
https://javarevisited.blogspot.com/2016/12/javaxnetsslsslhandshakeexception-pkix-path-building-failed-certificate-not-found.html#axzz7q5wDAfqZ

No log do SERPRO aparece o erro abaixo:

2023-01-11 11:04:03 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-11 11:04:05 ERROR SignerServerSSLNew:247 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2023-01-11 11:04:05 ERROR SignerServerSSLNew:139 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested

Estou fazendo testes e retorno se houver alguma novidade.

O fato é que a instalação desse certificado deveria ser transparente, porem se funcionar temos uma solução paliativa até que o causa raiz seja identificada.

rockarlos1982

Senhores,

Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:

Em seguida alterei meu arquivo wpad inserindo a linha

if (shExpMatch(host, "127.0.0.1")) { return proxy_no; }

na configuração.

Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs;

rockarlos1982

@rockarlos1982 said in Aplicativo do Serpro:

Senhores,

Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:

Em seguida alterei meu arquivo wpad inserindo a linha

if (shExpMatch(host, "127.0.0.1")) { return proxy_no; }

na configuração.

Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs;

Essa linha também foi colocada, pode ter ajudado. Na dúvida add também:
if (shExpMatch(url, "gov.br")) { return proxy_no; }

dfnsiplus

Obrigado amigo por essa grande contribuição, ainda nãp testei, mas acredito que vai dar certo, pois estudando rapidamente algumas coisas, vai resolver outro problema que tenho la. Vou testar sabado e depois posto aqui os resultados.

Mais uma vez, muito obrigado..