Vana Korduma Kippuvad Küsimused moodul

INFO

Siin on vana versioon KKK moodulist.

Praegu oleme loomas uut versioonist sellest ning selle leiab siit

Turvaserveris enim esinevad veakoodid ja võimalikud lahendused neile

	Vea kood	Põhjus	Lahendus
1.	Failed to get authentication key	Token'i PIN on sisestamata. NB! PIN tuleb sisestada iga kord peale turvaserveri restarti.	Sisesta Token'i PIN turvaserveri haldusliideses.
2.	Could not connect to any target host ([https://$securityServerName:5500/]) või Target host is null.	Vale turvaserveri IP-aadress. Tõenäoliselt on turvaserver seadistatud suhtlema välisvõrguga kasutades sisevõrgu IP; Päringu esitanud turvaserveris, ei ole lubatud sissetulevate ühenduste port. Peavad olema avatud: väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443 sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577	Vaata allpool ka punkt 34 soovitusi. Turvaserveri IP-aadressi muutmiseks tuleb saata e-kiri meiliaadressile help@ria.ee pealkirjaga „IP-aadressi muutmine“. Kirjale tuleb lisada järgmised andmed: asutuse nimi ja registrikood, turvaserveri nimi (server code), keskkond, mille IP-aadressi muudetakse, turvaserveri vana ja uus IP, kontaktisiku andmed (nimi, e-post, telefon)
3.	Security server has no valid authentication certificate, OCSP response not found, Could not find active authentication key for security server	Usaldusteenusepakkuja (CA) OCSP päringuid teenindav server ei ole kättesaadav. Sertifikaat (AUTH, SIGN) ei ole registreeritud CA OCSP kataloogi.	Käivita esmalt turvaserveri käsurealt järgmised käsud: $ sudo service xroad-signer stop $ sudo mv /var/cache/xroad/*ocsp /tmp $ sudo service xroad-signer start Veendu, kas usaldusteenuse pakkuja (CA) OCSP päringuid teenindav server on kättesaadav; Veendu, et sertifikaat (AUTH, SIGN) on registreeritud usaldusteenusepakkuja OCSP kataloogi. Nt: SK ID Solutions AS poolt väljastatud TEST sertifikaadid tuleb sertifikaatide tellijal laadida SK kataloogi: https://demo.sk.ee/upload_cert/
4.	Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member	SIGN sertifikaat puudub või ei ole kättesaadav.	Kontrolli, kas SIGN sertifikaat on aktiveeritud, selleks ava turvaserveri haldusliides "Management" → "Keys and Certificates". Kontrolli, et lehel olev Token ja selle all olev Key read on valgel taustal. Kui SIGN sertifikaat ei ole aktiveeritud, siis vajuta SIGN sertifikaadi juures "ACTIVATE". Kontrolli, kas token, kus sertifikaat asub on aktiivne. Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsurealt järgmine käsk: $ sudo -u xroad -i signer-console list-certs Kui ei ole "active", siis sisesta Token'i PIN.
5.	Could not find addresses for service provider ...	Päringus olevad elementide väärtused on vigased või neid pole olemas vastavas X-tee keskkonnas: <id:memberClass>$memberClass</id:memberClass> <id:memberCode>$memberCode</id:memberCode> <id:subsystemCode>$subSystemCode</id:subsystemCode>	Registreeri vastavas X-tee keskkonnas puuduolev liige või alamsüsteem.
6.	TURVASERVER: unknown error : Request processing error TURVASERVER: Temporary failure in name resolution	Turvaserveris alamsüsteemi all on määramata andmeteenuste URL.	Vaata turvaserveri haldusliideses: Subsystem → Services → mingiTeenus → EDIT → Service URL http://TURVASERVER/cgi-bin/consumer_proxy tuleb muuta vastavalt liidestuskomponendi (adapterserveri) parameetritele.
7.	Server responded with error 404: Not Found	Tõenäoliselt ei ole teenuse osutaja serveris andmeteenused kättesaadaval. Võimalik, et tegemist on vale teenuse URL-iga.	Kontrolli teenuse osutaja infosüsteemi serveris, kas teenused on saadaval samalt URL-ilt, mis on turvaserveris teenuse defineeritud URL turvaserveri haldusliideses: Subsystem → Services → mingiTeenus → EDIT → Service URL
8.	TLS handshake with server https://$securityServerName failed, server certificate missing from configuration või Server certificate is not trusted	Teenuse osutaja / tarbija infosüsteemi serveri sõrmejälg (fingerprint) ei ole sama, mis imporditi turvaserverisse.	Veendu, kas turvaserverisse imporditud TLS sertifikaat on sama, mis infosüsteemi serveris olev sertifikaat. Käivita turvaserveri käsurealt järgmine käsk: $ openssl s_client -connect Infosüsteemi_HostName_või_IP:443 2>/dev/null \| openssl x509 -noout -fingerprint Sõrmejälg peab olema sama, mis on siin: Subsystem → Internal Servers → Internal TLS Sertificates
9.	Service provider did not send correct authentication certificate (Failed to send registration request:) (Server.ClientProxy.SslAuthenticationFailed)	Teenuseosutaja või tarbija turvaserveris on AUTH seritfikaat DEACTIVATED või Softtokeni PIN on sisestamata. Teenust osutav infosüsteemi server ei ole kättesaadav. Turvaserverile ei ole lubatud vajalikud pordid. proxy.log sisaldab kirjet "Error while getting peer certificates" ja "peer not authenticated". Teenuseosutaja tulemüüris on klientide IP ja/või portide piirangud Mingi põhjusel teenusetarbija ja või teenusepakkuja turvaserveris ei ole saadaval valiidne OCSP kehtivuskinnitus. Sertifikaadid algusega "X-road-6 Server CA ..." ei kehti alates 19.02.2020. Tuleb tellida uued sertifikaadid "TEST of KLASS3-RIA 2018 G1" alt	Veendu, et AUTH sertifikaat on staatuses ACTIVEja/või sisesta softtokeni PIN Veendu, et andmeteenust osutav infosüsteem on kättesaadav. Avatud peavad olema: väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443 sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577 4) Veendu, et teenuseosutaja on lubanud tulemüüris pöördumist sinu turvaserverile, nt. $ openssl s_client -connect $securityServerName:5500 5) proovi OCSP cache tühjendamist: $ sudo service xroad-signer stop $ sudo mv /var/cache/xroad/*ocsp /tmp $ sudo service xroad-signer start taaskäivita xroad-proxy teenuse: $ sudo service xroad-proxy stop $ sudo service xroad-proxy start
10.	HttpError: Connection to Signer (port 5558) timed out	Veel teadmata. Üks võimalik põhjus sessiooni katkemine HSM seadmega.	Käivita turvaserveri käsurealt: $ sudo service xroad-signer stop $ sudo service xroad-signer start
11.	Could not get response from adapter server actor	Turvaserverisse ei saabu infosüsteemi poolt vastuspäring.	Kontrolli infosüsteemi kattesaadavust.
12.	SUBSYSTEM:$xRoadInstance/ $memberClass/ $memberCode/ $subSystemCode' is not registered at security server SERVER:$xRoadInstance/ $memberClass/ $memberCode/ $securityServerCode	Võimalik turvaserverite IP-aadresside konflikt. X-tee keskkonnas (ee-dev, ee-test, EE) on vähemalt 2 ühesuguse välise IP-ga turvaserverit. Turvaserver koodiga "SecurityServerCode" ei ole vastavas keskkonnas registreeritud. Alamsüsteem "subsysName" on tõenäoliselt registreeritud.	Võta ühendust X-tee keskusega (help@ria.ee), et tuvastada võimalik IP-aadresside konflikt. Veendu, et päringud tehakse õige X-tee keskkonna (ee-dev, ee-test, EE) turvaserverile.
13.	Redundant subsystem code	1) Sõnumipäringu päises on defineeritud atribuut: <xrd:client id:objectType="MEMBER"> kuid päis sisaldab ka alamsüsteemi elementi: <id:subsystemCode>SUBSYSTEM</id:subsystemCode> 2) Alamsüsteem ($susbSystemCode) ei ole registreeritud vastavas keskonnas (ee-dev, ee-test, EE) 3) Kirjaviga alamsüsteemi ($subSystemCode) nimetuses	1) Kasuta: <xrd:client id:objectType="SUBSYSTEM"> 2) registreeri alamsüsteem vastavas keskonnas (ee-dev, ee-test, EE) 3) paranda kirjaviga alamsüsteemi ($subSystemCode) koodis
14.	MISP2. XRoad v6 client list query response parsing failed. White spaces are required between publicId and systemId.	Pöördutakse vale turvaserveri poole.	Veendu, et portaali seadistuses on korrektsed "Asutuse turvaserveri aadress" ja "Päringute saatmise aadress".
15.	Failed to find keys from token	Veel teadmata, võimalik hetkeline ühenduse katkestus.	Käivita turvaserveri käsurealt: $ sudo xroad-signer stop $ sudo xroad-signer start
16.	Fatal system error - contact system administrator	Tõenäoliselt ei kuulu sisselogitav kasutajanimi xroad gruppi.	Veendu, kas sisselogitav kasutajanimi on xroad grupis, selleks käivita turvaserveri käsureal järgmine käsk: $ cat /etc/group \| grep xroad
17.	java.io.FileNotFoundException: Too many open files	Avatud failide limiit on ületatud mõne protsessi tõttu.	Kui probleem ilmneb, siis käivita turvaserveri käsurealt: $ for dir in /proc//fd; do \ echo -n "$dir "; \ pid=`expr "$dir" : '\/proc\/$.$\/.*'`; \ pname=`ps -p $pid -o comm=`; \ echo -n "$pname "; \ ls $dir 2>/dev/null \| wc -l; \ done \| sort -n -k 3 \| tail Näiteks leiad, et ühel protsessil on palju faile avatud: /proc/$procId/fd java 3978 Uuri, mis faili on avatud: $ lsof -p $procId Näed, et "/etc/xroad/conf.d" Vaata kui palju on seda faili avatud kokku, selleks käivita käsk: $ lsof -p $procId \| grep "/etc/xroad/conf.d" \| wc -l Selgita välja, mis failidega on probleem
18.	FAILED SelectChannelConnector@0.0.0.0:80: java.net.BindException: Address already in use	Porte kasutavad mitte turvaserveri rakendused.	Portide kasutuse vaatamiseks käivita turvaserveri käsureal järgmine käsk: $ netstat -nap \| egrep ":80\|:443\|:5500" või vaata võrguühenduste tabelit käsuga: $ netstat -nap
19.	Server.ServerProxy.LoggingFailed.DatabaseError: Error accessing database (messagelog)	Tõrked turvaserveri andmebaasiga (Server.ServerProxy viitab tenusepakkuja turvaserveri veale)	Alusta logide uurimisega: $ less /var/log/postgresql/ \ /var/log/xroad/proxy.log
20.	Signer.FailedToGeneratePrivateKey.InternalError: CKR_FUNCTION_FAILED	Tõenäoliselt ei ole xroad kasutaja listud nfast gruppi.	Käivita turvaserveri käsureal järgmine käsk: $ usermod -a -G nfast xroad
21.	Server.ServerProxy.CannotCreateSignature. Signer.CannotSign.InternalError: CKR_USER_NOT_LOGGED_IN	Turvaserver ei saa HSM partitsiooniga ühendust. Veendu, kas probleem on Sinu turvaserveris, selleks käivita turvaserveri käsureal järgmine käsk: $ egrep "CKR_USER_NOT_LOGGED_IN" /var/log/xroad/signer.log Kui veateated eksisteerivad, siis seisneb probleem selles turvaserveris.	1) Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active" Turvaserveri haldusliideses peab Token ja selle all olev Key rida olema valgel taustal. Käivita turvaserveri käsureal järgmine käsk: $ sudo -u xroad -i signer-console list-certs 2) Käivita turvaserveri käsureal järgmised käsud: $ sudo service xroad-signer stop $ sudo service xroad-signer start
22.	Failed to register certificate: ConnectException:Connection refused (Connection refused)	Tõenäoliselt ei ole turvaserverile avatud kõik vajalikud pordid.	Avatud peavad olema: väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443 sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577
23.	Client 'SUBSYSTEM: $xRoadInstance / $memberClass / $memberCode / $subSystemCode' not found	Tarbija turvaserveri puhul - võimalik, et päring tehakse vale turvaserveri või x-tee instantsi (ee-dev, ee-test, EE) pihta ehk kuhu pole registreeritud alamsüsteemi SUBSYSTEM mille pihta päring tehakse; Teenuse pakkuja turvaserveri puhul ei ole seadistatud korrektselt veebiteenuse URLi.	Kontrollida päringu sisu, et tarbija ja teenuse pakkuja x-tee instants oleks sama (nt ee-dev'ist ei saa saata päringut ee-test'i) ning alamsüsteem oleks olemas ja registreeritud; Kontrollida veebiteenuse URL'i. Turvaserveris: subsystem-name" -"Services" → "teenusenimi" → "EDIT" → "Service URL
24.	Server.ClientProxy.SslAuthenticationFailed.InternalError connect timed out	Võimalik et päringu esitanud kliendi tulemüüris on pordid kinni.	Avatud peavad olema: väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443 sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577
25.	Response from server proxy is not consistent with request Response headers are not consistent with the request headers Field 'issue' does not match in request and response connect timed out	Päringu esitaja sõnumi päises olev mingi element (antud näites "issue") on tühi või päringu vastuses olevad päise elemendid erinevad päringu esitaja omast.	X-tee sõnumiprotokoll https://www.x-tee.ee/docs/live/xroad/pr-mess_x-road_message_protocol.html ütleb ,et teenusepakkuja peab päise muutmata kujul vastuses tagastama.
26.	Server.ClientProxy.SslAuthenticationFailed: Client (...) specifies HTTPS but did not supply TLS certificate	Alates turvaserveri tarkvara versioonist 6.9.5, kasutatakse turvaserveri omaniku (MEMBER) alt käivitatud metateenuse puhul vaikimisi HTTPS ühendust. Juhul, kui teie infosüsteemi TLS sertifikaat ei ole registreeritud turvaserveris kuvatakse veateate	Lahendus on kirjeldatud turvaserveri kasutusjuhendis: "9 Communication with the Client Information Systems" https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems RIA ei soovita HTTP ühendust turvakaalutlustel kasutada.
27.	Server.ServerProxy.MissingSignature: Request does not have signature	Transpordiprotokollis kirjeldatud käitumine. Turvaserver kiiruse eesmärgil edastab sõnumi koheselt ja üritab sõnumi lõppu e-Templi panna. Juhul kui sõnumi edastaja turvaserveril tekkib mingi tõrge nt kettamaht saab täis, jääb sõnum poolikuks (e-Templita). Ilma e-Templita sõnumit vastuvõttev turvaserver ignoreerib seda sõnumit tekitades sellekohast veateadet proxy.log-is	Turvaserveri normaalse tööoleku taastamine https://www.x-tee.ee/docs/live/xroad/pr-messtransp_x-road_message_transport_protocol.html
28.	Server.ServerProxy.ServiceFailed.IOError Received fatal alert: certificate_unknown	Klient-Server TLS seadistus infosüsteemi ja turvaserver vahel on ebakorrektne	Klient-server TLS kommuniktsiooni seadistuse korrastamine Kõik mis turvaserveri TLS seadistustus puudutab on kirjas X-tee kasutusjuhendis (nii kliendi "service consumer" kui ka serveri "service provider" rollis). https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems
29.	MISP2: XROAD_SOAP_RESPONSE_FAULT: X-Road SOAP response contained Fault Server.ClientProxy.UnknownMember Client 'SUBSYSTEM: $xRoadInstance/ $memberClass/ $memberCode/ $subSystemCode' not found"	MISPi konfiguratsioni failis on toodangukeskkonna instantsi väärtus väikeste tähtedega 'ee', aga peab olema 'EE'. Probleem esineb ainult siis kui MISP tarkvara uuendatakse, sest uuendamise ei kirjutada konfiguratsiooni faili üle.	Veenduge, et MISP konfiguratsioonifailis /var/lib/tomcat7/webapps/misp2/WEB-INF/classes/config.cfg oleks xroad_instances="ee-dev,ee-test,EE".
30.	Name in certificate does not match name in message	Usaldusteenusepakkkuja (SK ID Solution) on väljastanud e-Templi sertifikaati milles "Subject: 2.5.4.97 =" väärtus ebakorrektne ning ei ühti X-tee liikmeklassi koodiga (MemberCode)	Paluda uut sertifikaati usalduteenuse pakkujalt. Alates turvaserveri v 6.16.0-0.20171128173309 Vastavused "Subject: 2.5.4.97 =" ja "MemberCode" GO:EE = GOV – Eesti riigi ja Eesti kohalike omavalitsuste asutused NP:EE = NGO – Eesti sihtasutused ja mittetulundusühingud NTREE = COM – Eesti erasektori asutused NTRxx = NEE – Väilisriikide asutused
31.	HSM partitsiooni pole võimalik pärast versioonile 6.9.5 upgrade'i sisse logida / Tokenid "Keys & Certificates" vaates on hallid, LOGIN nupp on inaktiivne.	Probleemi juurpõhjus on HSM klastrite (token_id_format parameetri) juures tehtud tööd, mis parandas slotIndex määramisel tehtud ammuse vea.	Täpsemalt kirjas siin: https://x-tee.ee/packages/scripts/slotindex_fix.txt Mõndade HSMide puhul (nt. Thales ) on aidanud üks a) või b) variantidest: a) Keyconfi muutmine – 1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml 2) Vaadake proxy-console'i, et mis tokenid all võtmed paistavad $ sudo -u xroad -i signer-console 3) Tehke signer'ile stop: $ sudo service xroad-signer stop 4) Keyconf'is muutke id selleks, mis signer-console ütles. 5) Tehke signer'ile start: $ sudo service xroad-signer start 6) Vaadake, kas lahendas mure. b) Keyconfi kustutamine ja uuesti tekitamine – 1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml ning otsige serdid või parsige keyconfi'i. 2) Tehke signer'ile stop: $ sudo service xroad-signer stop 3) Kustutage keyconf (sellepärast ongi oluline, et tegite varukoopia); 4) Tehke signer'ile start: $ sudo service xroad-signer start 5) Importige serdid uuesti. 6) Vaadake, kas lahendas mure
32.	Request is not allowed: SERVICE: ...	Teenus mille pihta päringut tehakse ei ole alamsüsteemile avatud.	Võtke ühendust teenuse omanikuga ning paluge neilt teenuse ligipääsu võimaldamist Teie alamsüsteemile.
33.	HTTP error: 403 - Forbidden	Turvaserverile ei ole ajatempliteenust avatud ehk kas puudub leping või ei ole teenusepakkuja lubanud Teie turvaserveri IP-d ehk puudub teenusele ligipääs. https://www.sk.ee/teenused/ajatempliteenus/tehniline-lisainfo/	Palun võtke ühendust SK ID Solutions AS-ga ning paluge neil üle kontrollida Teie turvaserveri ajatempliteenuse ligipääs ja ühendused.

Teenuste monitooringus (operational monitoring, opmon) enim esinevad veakoodid ja võimalikud lahendused neile

34. Server.ClientProxy.NetworkError: Could not connect to any target host ([https://IP:5500/])

Kontrolli, et veateates oleva IP-ga turvaserver aktsepteeriks päringuid pordile 5500 ja 5577. Sisenevale liiklusele peavad olema avatud tulemüüris TCP pordid 5500 ja 5577 järgnevatele RIA IP-dele vastavalt keskkonnale:

ee-dev - 195.80.123.169
ee-test - 195.80.123.164
EE - 195.80.123.159

Kui antud turvaserver pole enam reaalselt kasutusel, siis palun saatke kiri help@ria.ee infoga asutuse registrikoodist ja turvaserveri nimest, mille võime kustutada.

35. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: java.lang.IllegalArgumentException: one of either dataSource or dataSourceClassName must be specified

Veendu, et andmebaasiga on ühendus:

$ psql -U messagelog -W -h 127.0.0.1

Andmebaasi kasutaja messagelog parooli saab vaadata /etc/xroad/db.properties failist.

36. Server.ServerProxy.OpMonitor.InternalError: Could not initialize class ee.ria.xroad.opmonitordaemon.OperationalDataRequestHandler

Uuenda turvaserver uuema tarkvara peale.

$ apt dist upgrade apt install xroad-security-server-ee

Alates versioonist 6.18.0 on antud viga parandatud.

37. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: Error accessing database (op-monitor)

Turvaserver ei saa sisemise andmebaasiga ühendust (nt andmebaasi kasutaja parool on vale). Võimalik seletus võib peituda andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log.

Võib proovida ka restartida teenust:

$ sudo service xroad-opmonitor restart
$ sudo service postgresql restart

38. Server.ServerProxy.ServiceFailed.NetworkError: Connect to localhost:2080 [localhost/127.0.0.1] failed: Connection refused (Connection refused)

Xroad-monitor ja või opmonitoring teenus on paigaldamata. Kogu paketi paigaldamise käsk

$ sudo apt-get install xroad-securityserver-ee

Võimalik seletus (nt andmebaasi kasutaja parool on vale) võib peituda ka andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. Võib proovida ka restartida teenust:

$ sudo service xroad-opmonitor restart

39. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member

Vaata punkt 4

40. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member HttpError: Connection to Signer (port 5558) timed out

Restart teenusele. Selleks käivita turvaserveri käsureal käsk:

$ sudo service xroad-signer restart

Kontrolli, et turvaserveri haldusliidese menüüs „Management“ -> „Keys and Certificates“ lehel olev Token ja selle all olev Key read on valgel taustal.

Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsureal järgmine käsk:

$ sudo -u xroad -i signer-console  list-certs

41. Server.ServerProxy.ServiceFailed.InvalidSecurityServer: Invalid security server identifier

Uue turvaserveri paigaldamisel peab turvaserveri enda kood (tähis) olema unikaalne kõigi asutusele kuuluvate (ka varem kuulunud) turvaserveri koodide (tähiste) hulgas. Tegemist on asutuse sees oleva unikaalse turvaserveri indentifikaatoriga.

42. Server.ClientProxy.SslAuthenticationFailed: Service provider did not send correct authentication certificate

Palun kontrollige turvaserveri haldusliideses Keys and Certificates vaates enda kasutusel olevaid sertifikaate. Sertifikaadid algusega "X-road-6 Server CA ..." on tühistatud 19.02.2020. Nende asemele on vaja tellida uued sertifikaadid.

Uue sertifikaadi tellimiseks:

turvaserveris Keys and Certificates vaates luua uus võti (generate key)
võtmele genereerida uus sertifikaadi taotlus (generate CSR)
Certification Service väärtuseks valida kindlasti "TEST of KLASS3-RIA 2018 G1"
CSR Format väärtuseks jääb PEM
edasta genereeritud sertifikaadi taotlus e-postile help@ria.ee koos asutuse nimega, registrikoodiga, turvaserveri nimega ning genereeritud AUTH ja/või SIGN csr-id manusena.

Vaata ka eespool punkti 9.

43. Server.ClientProxy.SslAuthenticationFailed.InternalError: Could not find OCSP response for certificate

Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga

$ apt list --upgradable

Soovitame uuendada xroad-* teenused kõige uuema seisuni. Uuenduste puudmisel restart teenusele

$ sudo service xroad-signer restart

Logi kontroll, uurida ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku juhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.

$ less /var/log/xroad/configuration_client.log

44. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages: no timestamping services configured

Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud.

45. Server.ServerProxy.LoggingFailed.InternalError: Ask timed out on [Actor[akka://Proxy/user/LogManager#2110275378]] after [40000 ms]. Sender[null] sent message of type "ee.ria.xroad.common.messagelog.LogMessage".

Veendu, et turvaserver pole ülekoormatud või kõvaketta maht pole täis saanud. Võid proovida ka masina restarti.

46. Server.ServerProxy.LoggingFailed.InternalError: Futures timed out after [40 seconds]

Veendu, et turvaserver pole ülekoormatud.

47. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages

Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud. Turvaserveri menüüs "Management" -> "Diagnostics" lehel Timestamping lahtris peab Message olek sisaldama teadet "Connection ok". Võib aidata teenuse taaskäivitus: "sudo service xroad-proxy restart".

Soovitav on uurida ka logisid ajatembeldamis vigade kohta logifailist /var/lib/proxy.log. Võib juhtuda ka, et ajatembeldamisteenust pakkuv osapool on teie turvaserveri ip aadressi jätnud lisamata lubatud aadressite hulka.

48. Server.ServerProxy.UnknownService: Unknown service: SERVICE:EE/…/getSecurityServerOperationalData

Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga

$ apt list --upgradable

Monitooringu paketi puudumisel paigaldage puudu olevad pakid käsuga

$ sudo apt-get install xroad-securityserver-ee

Vaata ka 52. X-tee turvaserveri tarkvara uuendamine 6.16 pealt 6.18.0 versioonile.

49. Server.ServerProxy.CannotCreateSignature.Signer.TokenNotAvailable: Token not available

Veendu, et turvaserveri haldusliideses menüüs „Management“ -> „Keys and Certificates“ on Token ja selle all olev Key rida valgel taustal.

Vajadusel tuleb token ja või võtmed uuesti genereerida vastavalt turvaserveri kasutusjuhendile.

50. Server.ServerProxy.OutdatedGlobalConf: Global configuration is expired

Variandid, et kas sel hetkel ei saadud keskserveriga ühendust või ei saadud allaletud faili Ubuntu failisüsteemi turvaserveris edukalt salvestatud.

Veendu, et turvaserveri ketas pole täis: kontrolli logisid ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku puhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.

$ less /var/log/xroad/configuration_client.log

Võib proovida ka teenuse taaskäivitamist käsuga

$ sudo service xroad-signer restart

51. Turvaserveri logisse ei teki uuemaid proxy.log kandeid

Juhul kui turvaserveri versioon on 6.18.0-1 või uuem, siis on tõenäoliselt põhjuseks logbacki klassi XRoadSizeBasedRollingPolicy eemaldamine turvaserverist ning vastav seadistusfail on jäänud uuenduse käigus üle kirjutamata.

Sellisel juhul ava turvaserveris /etc/xroad/conf.d/proxy-logback.xml fail ja asenda järgnevad read:

<rollingPolicy class="ee.ria.xroad.common.XRoadSizeBasedRollingPolicy">
    <fileNamePattern>${logOutputPath}/proxy.%i.log.zip</fileNamePattern>
</rollingPolicy>
<triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
    <maxFileSize>100MB</maxFileSize>
</triggeringPolicy>

järgnevate ridadega:

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
    <fileNamePattern>${logOutputPath}/proxy.%d{yyyy-MM-dd}.%i.log.zip</fileNamePattern>
    <maxFileSize>100MB</maxFileSize>
</rollingPolicy>

52. X-tee turvaserveri tarkvara uuendamine 6.16 pealt 6.18.0 versioonile.

Repositooriumi vahetamise ja turvaserveri tarkvara uuendamise õige järjekord:

1. Muuda APT source listi /etc/apt/sources.list.d/xroad.list
1.1 Lisa xroad.list-i uus allikas: deb http://x-tee.ee/packages/live/xroad trusty main
1.2 Eemalda read, mis sisaldavad http://x-road.eu/ allikat.

2. Jõusta tehtud muudatused

$ sudo apt-get update

3. Uuendada esmalt PostgreSQL (PostgreSQL v9.4 kasutajad kasutavad „postgresql-9.4“ käsu lõpus)

$ sudo apt-get install postgresql-9.3 --only-upgrade

4. Paigalda uuem tarkvara:

$ sudo apt-get install xroad-securityserver-ee

5. Soovitav on uuendada ka ülejäänud tarkvara:

$ sudo apt-get dist-upgrade

Vaata ka Turveserveri installeerimise juhend

53. soap:Server: The given SOAPAction ... does not match an operation

Client.InvalidSoapAction: Malformed SOAPAction header

Alates 6.18.0 X-tee versioonist kontrollib ja edastab turvaserver rakenduse poolt talle edastatud HTTP päringu päises olevat SOAPAction välja edasi teise osapoole turvaserverile. Varasemates versioonides eemaldati SOAPAction väli enne edastamist HTTP päisest. Seega nüüd on oluline antud väli korrektselt kirjeldada vastavalt standardile punkt 6.1.1
Juhime tähelepanu, et SOAPAction välja väärtus on kas tühi või ümbritsetud jutumärkidega.
Kui üle X-tee päritava teenuse rakendus ei nõua SOAPAction välja, siis lihtsam lahendus on eemaldada enda päringut tegevas rakenduses üldse HTTP POST päringu päisest SOAPAction väli. Varuvariandina võib ka kaaluda turvaserveri uuendamiseelse seisu taastamist varukoopiast.

54. Client not found in global configuration.

Antud veateadet kuvatakse, kui alamsüsteemi omav asutus ($memberCode) ei ole X-teega liitunud ja keskserveris kirjeldatud.

X-tee test- ja toodangukeskkonnaga liitumiseks peab asutus ennast RIHA's kirjeldama. Selle tulemusena lisab RIA kasutajatugi selle asutuse X-tee test- ja toodangukeskkonna keskserverisse.

X-tee arenduskeskkonnaga liitumiseks ei pea asutust RIHA's kirjeldama ning piisab, kui edastate oma asutuse info aadressile: help@ria.ee.

55. Fault Code: Server.ClientProxy.NetworkError ... Name or service not known.

No address associated with hostname

Veenduge, et Teie turvaserver on X-teel registreeritud õige välise aadressiga. Hetkel registreeritud aadressi saate teada, pöördudes RIA kasutajatoe poole: help@ria.ee. Turvaserveri aadressi muutmine käib RIA kasutajatoe kaudu ning selleks ei pea auth sertifikaati uuesti registreerima.

Lisaks võivad mõned vead ja lahendused olla raporteeritud ühisarenduse keskkonnas:

https://x-road.global/resources

Parandusettepanekute ja vearaportitega palun pöörduge help@ria.ee.