Aplicativo do Serpro
-
Bom dia,
Ainda não conseguimos resolver aqui na empresa. Como o time de firewall e proxy nos confirmou que não identificou nenhum bloqueio vindo dos IPs de origem que informamos, escalei este caso junto ao nosso time de segurança end point. Como a gerencia de nossos computadores e rede não é local, temos um pouco mais de dificuldade para resolver este tipos de caso. Eu acredito que o problema esteja ocorrendo devido a um bloqueio de segurança local como antivirus e firewall do windows. Infelizmente nao tenho permissões para desabilitar, por acaso voces teriam esse nivel de acesso para realizarmos um teste?
-
@maugusto Olá, pode ser do firewall do windows, não testei, vou fazer um teste e posto aqui os resultados.
O app é estranho, ele cria um web server na estação, e aponta pra ele mesmo, no meu cliente resolvi dar a opção de eles desativar o Proxy da estação, daí o assinador funciona, é uma rede pequena, não vejo grandes problemas, -
@acamoura Ja olhei os logs do proprio sistema e do firewall da rede (tenho o squid) e não aparece nada.
-
@dfnsiplus firewall do windows não é, pois se eu estou fora da minha rede (sem o proxy) o sistema abre normal.
-
@ricardo-rocha
Exato, eu voltei aqui por esse motivo, mas de qualquer forma eu testei, tambem nao funciona, somente se desativar o Proxy. -
Pessoal tava falando com meu time de desenvolvimento, eles me mandaram um link bem interessante.
https://javarevisited.blogspot.com/2016/12/javaxnetsslsslhandshakeexception-pkix-path-building-failed-certificate-not-found.html#axzz7q5wDAfqZNo log do SERPRO aparece o erro abaixo:
2023-01-11 11:04:03 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-11 11:04:05 ERROR SignerServerSSLNew:247 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2023-01-11 11:04:05 ERROR SignerServerSSLNew:139 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requestedEstou fazendo testes e retorno se houver alguma novidade.
O fato é que a instalação desse certificado deveria ser transparente, porem se funcionar temos uma solução paliativa até que o causa raiz seja identificada.
-
Senhores,
Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:
Em seguida alterei meu arquivo wpad inserindo a linhaif (shExpMatch(host, "127.0.0.1")) { return proxy_no; }
na configuração.
Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs; -
@rockarlos1982 said in Aplicativo do Serpro:
Senhores,
Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:
Em seguida alterei meu arquivo wpad inserindo a linhaif (shExpMatch(host, "127.0.0.1")) { return proxy_no; }
na configuração.
Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs;Essa linha também foi colocada, pode ter ajudado. Na dúvida add também:
if (shExpMatch(url, "gov.br")) { return proxy_no; }
-
Obrigado amigo por essa grande contribuição, ainda nãp testei, mas acredito que vai dar certo, pois estudando rapidamente algumas coisas, vai resolver outro problema que tenho la. Vou testar sabado e depois posto aqui os resultados.
Mais uma vez, muito obrigado..
-
@rockarlos1982 eu não uso wpad, alguma sugestão?
Fiz as mesmas configurações mas não funcionou, infelizmente. -
@jcgeraldi boa noite.
Não sei dizer, acho tão mais fácil configurar tudo automaticamente por um script desses.
Talvez se ajustar na configuração do proxy para não utilizar proxy para endereços iniciados por (...)
Mesmo assim não sei onde entraria a exclusão do host 127.0.0.1 -
@rockarlos1982 Então rockarlos e demais colegas, eu tambem nao uso o wpad, vou estudar quando tiver mais tempo, e implementar, pelo que andei vendo, é bem pratico e funciona melhor.
-
@rockarlos1982 teoricamente se nas minhas GPO que configuro o proxy e configurações dos navegadores, eu adicionar os endereços no "bypass", pode funcionar.
Essa configuração do wpad passa esse tipo de informação ou não?
-
@jcgeraldi passa sim, de URL e hosts.
-
Bom dia pessoal, alguém conseguiu encontrar alguma solução para esse problema? Eu uso o squid e não utilizo o wpad, já efetuei todas as liberações de URL e porta no squid mas não tem jeito do assinador Serpro funcionar, esse problema começou na versão 4.0.2, na versão 3 nunca tive esse problema.
-
@fabianodsp Bom dia
Consegui resolver hoje esse problema (pelo menos acessou o assinador), então vamos por partes.
**Configuração no proxy, liberei os seguintes endereços para não precisar autenticação (uso proxy autenticado):
estaleiro.serpro.gov.br
serpro.gov.br
assinador-desktop.serpro.gov.br
assinadoc.estaleiro.serpro.gov.br
assinador.estaleiro.serpro.gov.br
arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.br
assinadorserpro.estaleiro.serpro.gov.br
router-ha.estaleiro.serpro.gov.br
assinador-desktop.serpro.gov.brConfiguração no Firewall (uso o iptables):
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp -d arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.br -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 65166 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 65166 -j ACCEPTConfiguração nas Opções da Internet:
Em não usar servidor proxy para endereços iniciados por:
127.0.0.1;arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.brAqui resolveu. Também não sei dizer se em virtude de alguma modificação/atualização do Assinador agora esta funcionando.
-
@ricardo-rocha maravilha meu nobre, aqui funcionou, no firewall eu já tinha feito as liberações, agora ao colocar todos os endereços na regras do proxy e as exceções dentro de opções de internet ele funcionou perfeitamente, obrigado pela ajuda.
-
@ricardo-rocha Muito obrigado, me ajudou bastante. Estava já aqui na empresa sem saber o que fazer.
-
Pessoal, aqui eu fiz um outro teste com aplicativo "serpro-signer-4.0.2.jar" por dentro da pasta e funcionou normalmente.
-
@fcosta Olá, poderia nos dizer o que você fez por favor?