Aplicativo do Serpro

Maugusto · Jan 11, 2023, 2:09 PM

Bom dia,

Ainda não conseguimos resolver aqui na empresa. Como o time de firewall e proxy nos confirmou que não identificou nenhum bloqueio vindo dos IPs de origem que informamos, escalei este caso junto ao nosso time de segurança end point. Como a gerencia de nossos computadores e rede não é local, temos um pouco mais de dificuldade para resolver este tipos de caso. Eu acredito que o problema esteja ocorrendo devido a um bloqueio de segurança local como antivirus e firewall do windows. Infelizmente nao tenho permissões para desabilitar, por acaso voces teriam esse nivel de acesso para realizarmos um teste?

dfnsiplus · Jan 11, 2023, 2:09 PM

@maugusto Olá, pode ser do firewall do windows, não testei, vou fazer um teste e posto aqui os resultados.
O app é estranho, ele cria um web server na estação, e aponta pra ele mesmo, no meu cliente resolvi dar a opção de eles desativar o Proxy da estação, daí o assinador funciona, é uma rede pequena, não vejo grandes problemas,

Ricardo.Rocha · Jan 11, 2023, 2:33 PM

@acamoura Ja olhei os logs do proprio sistema e do firewall da rede (tenho o squid) e não aparece nada.

Ricardo.Rocha · Jan 11, 2023, 2:36 PM

@dfnsiplus firewall do windows não é, pois se eu estou fora da minha rede (sem o proxy) o sistema abre normal.

dfnsiplus · Jan 11, 2023, 4:18 PM

@ricardo-rocha
Exato, eu voltei aqui por esse motivo, mas de qualquer forma eu testei, tambem nao funciona, somente se desativar o Proxy.

Maugusto · Jan 11, 2023, 4:20 PM

Pessoal tava falando com meu time de desenvolvimento, eles me mandaram um link bem interessante.
https://javarevisited.blogspot.com/2016/12/javaxnetsslsslhandshakeexception-pkix-path-building-failed-certificate-not-found.html#axzz7q5wDAfqZ

No log do SERPRO aparece o erro abaixo:

2023-01-11 11:04:03 INFO SignerServerSSLNew:91 - Iniciando WSSServerNew...: assinador-desktop.serpro.gov.br:65166
2023-01-11 11:04:05 ERROR SignerServerSSLNew:247 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetjavax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2023-01-11 11:04:05 ERROR SignerServerSSLNew:139 - PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested

Estou fazendo testes e retorno se houver alguma novidade.

O fato é que a instalação desse certificado deveria ser transparente, porem se funcionar temos uma solução paliativa até que o causa raiz seja identificada.

rockarlos1982 · Jan 12, 2023, 8:41 PM

Senhores,

Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:
login-to-view
Em seguida alterei meu arquivo wpad inserindo a linha

if (shExpMatch(host, "127.0.0.1")) { return proxy_no; }

na configuração.
login-to-view
Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs;

rockarlos1982 · Jan 12, 2023, 8:44 PM

@rockarlos1982 said in Aplicativo do Serpro:

Senhores,

Coloquei as portas 65166 e 65156 na configuração do Squid da seguinte forma:
login-to-view
Em seguida alterei meu arquivo wpad inserindo a linha

if (shExpMatch(host, "127.0.0.1")) { return proxy_no; }

na configuração.
login-to-view
Tá rodando certinho.
Abaixo dela tem as linhas que tentei desesperadamente fazer funcionar. rs
Abs;

Essa linha também foi colocada, pode ter ajudado. Na dúvida add também:
if (shExpMatch(url, "gov.br")) { return proxy_no; }
login-to-view

dfnsiplus · Jan 13, 2023, 1:33 AM

Obrigado amigo por essa grande contribuição, ainda nãp testei, mas acredito que vai dar certo, pois estudando rapidamente algumas coisas, vai resolver outro problema que tenho la. Vou testar sabado e depois posto aqui os resultados.

Mais uma vez, muito obrigado..

jcgeraldi · Jan 17, 2023, 10:56 PM

@rockarlos1982 eu não uso wpad, alguma sugestão?
Fiz as mesmas configurações mas não funcionou, infelizmente.

rockarlos1982 · Jan 18, 2023, 1:28 AM

@jcgeraldi boa noite.
Não sei dizer, acho tão mais fácil configurar tudo automaticamente por um script desses.
Talvez se ajustar na configuração do proxy para não utilizar proxy para endereços iniciados por (...)
Mesmo assim não sei onde entraria a exclusão do host 127.0.0.1

dfnsiplus · Jan 18, 2023, 1:28 AM

@rockarlos1982 Então rockarlos e demais colegas, eu tambem nao uso o wpad, vou estudar quando tiver mais tempo, e implementar, pelo que andei vendo, é bem pratico e funciona melhor.

jcgeraldi · Jan 18, 2023, 1:21 PM

@rockarlos1982 teoricamente se nas minhas GPO que configuro o proxy e configurações dos navegadores, eu adicionar os endereços no "bypass", pode funcionar.

Essa configuração do wpad passa esse tipo de informação ou não?

rockarlos1982 · Jan 18, 2023, 1:21 PM

@jcgeraldi passa sim, de URL e hosts.

fabianodsp · Jan 25, 2023, 1:08 PM

Bom dia pessoal, alguém conseguiu encontrar alguma solução para esse problema? Eu uso o squid e não utilizo o wpad, já efetuei todas as liberações de URL e porta no squid mas não tem jeito do assinador Serpro funcionar, esse problema começou na versão 4.0.2, na versão 3 nunca tive esse problema.

Ricardo.Rocha · Jan 25, 2023, 1:28 PM

@fabianodsp Bom dia
Consegui resolver hoje esse problema (pelo menos acessou o assinador), então vamos por partes.
**Configuração no proxy, liberei os seguintes endereços para não precisar autenticação (uso proxy autenticado):
estaleiro.serpro.gov.br
serpro.gov.br
assinador-desktop.serpro.gov.br
assinadoc.estaleiro.serpro.gov.br
assinador.estaleiro.serpro.gov.br
arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.br
assinadorserpro.estaleiro.serpro.gov.br
router-ha.estaleiro.serpro.gov.br
assinador-desktop.serpro.gov.br

Configuração no Firewall (uso o iptables):
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp -d arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.br -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 65166 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 65166 -j ACCEPT

Configuração nas Opções da Internet:
Em não usar servidor proxy para endereços iniciados por:
127.0.0.1;arquivos-desktop-assinadorserpro.estaleiro.serpro.gov.br

Aqui resolveu. Também não sei dizer se em virtude de alguma modificação/atualização do Assinador agora esta funcionando.

fabianodsp · Jan 25, 2023, 1:52 PM

@ricardo-rocha maravilha meu nobre, aqui funcionou, no firewall eu já tinha feito as liberações, agora ao colocar todos os endereços na regras do proxy e as exceções dentro de opções de internet ele funcionou perfeitamente, obrigado pela ajuda.

erick.soares · Feb 3, 2023, 11:56 AM

@ricardo-rocha Muito obrigado, me ajudou bastante. Estava já aqui na empresa sem saber o que fazer.

fcosta · Feb 9, 2023, 6:32 PM

Pessoal, aqui eu fiz um outro teste com aplicativo "serpro-signer-4.0.2.jar" por dentro da pasta e funcionou normalmente.login-to-view

dfnsiplus · Mar 6, 2023, 10:06 PM

@fcosta Olá, poderia nos dizer o que você fez por favor?