Turvaserveri IP-aadressi muutmiseks tuleb saata e-kiri meiliaadressilehelp@ria.eepealkirjaga „IP-aadressi muutmine“.
Kirjale tuleb lisada järgmised andmed:
asutuse nimi ja registrikood,
turvaserveri nimi (server code),
keskkond, mille IP-aadressi muudetakse,
turvaserveri vana ja uus IP,
kontaktisiku andmed (nimi, e-post, telefon)
3.
Security server has no valid authentication certificate, OCSP response not found, Could not find active authentication key for security server
Usaldusteenusepakkuja (CA) OCSP päringuid teenindav server ei ole kättesaadav.
Sertifikaat (AUTH, SIGN) ei ole registreeritud CA OCSP kataloogi.
Käivita esmalt turvaserveri käsurealt järgmised käsud:
$ sudo service xroad-signer stop $ sudo mv /var/cache/xroad/*ocsp /tmp $ sudo service xroad-signer start
Veendu, kas usaldusteenuse pakkuja (CA) OCSP päringuid teenindav server on kättesaadav;
Veendu, et sertifikaat (AUTH, SIGN) on registreeritud usaldusteenusepakkuja OCSP kataloogi. Nt: SK ID Solutions AS poolt väljastatud TEST sertifikaadid tuleb sertifikaatide tellijal laadida SK kataloogi:https://demo.sk.ee/upload_cert/
4.
Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member
SIGN sertifikaat puudub või ei ole kättesaadav.
Kontrolli, kas SIGN sertifikaat on aktiveeritud, selleks ava turvaserveri haldusliides "Management" → "Keys and Certificates". Kontrolli, et lehel olev Token ja selle all olev Key read on valgel taustal.
Kui SIGN sertifikaat ei ole aktiveeritud, siis vajuta SIGN sertifikaadi juures "ACTIVATE".
Kontrolli, kas token, kus sertifikaat asub on aktiivne. Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsurealt järgmine käsk:
$ sudo -u xroad -i signer-console list-certs
Kui ei ole "active", siis sisesta Token'i PIN.
5.
Could not find addresses for service provider ...
Päringus olevad elementide väärtused on vigased või neid pole olemas vastavas X-tee keskkonnas:
Tõenäoliselt ei ole teenuse osutaja serveris andmeteenused kättesaadaval.
Võimalik, et tegemist on vale teenuse URL-iga.
Kontrolli teenuse osutaja infosüsteemi serveris, kas teenused on saadaval samalt URL-ilt, mis on turvaserveris teenuse defineeritud URL turvaserveri haldusliideses: Subsystem → Services → mingiTeenus → EDIT → Service URL
8.
TLS handshake with server https://$securityServerName failed, server certificate missing from configuration
või
Server certificate is not trusted
Teenuse osutaja / tarbija infosüsteemi serveri sõrmejälg (fingerprint) ei ole sama, mis imporditi turvaserverisse.
Veendu, kas turvaserverisse imporditud TLS sertifikaat on sama, mis infosüsteemi serveris olev sertifikaat.
$ sudo service xroad-signer stop $ sudo mv /var/cache/xroad/*ocsp /tmp
$ sudo service xroad-signer start
taaskäivita xroad-proxy teenuse:
$ sudo service xroad-proxy stop $ sudo service xroad-proxy start
10.
HttpError: Connection to Signer (port 5558) timed out
Veel teadmata. Üks võimalik põhjus sessiooni katkemine HSM seadmega.
Käivita turvaserveri käsurealt:
$ sudo service xroad-signer stop $ sudo service xroad-signer start
11.
Could not get response from adapter server actor
Turvaserverisse ei saabu infosüsteemi poolt vastuspäring.
Kontrolli infosüsteemi kattesaadavust.
12.
SUBSYSTEM:$xRoadInstance/ $memberClass/ $memberCode/ $subSystemCode' is not registered at security server SERVER:$xRoadInstance/ $memberClass/ $memberCode/ $securityServerCode
Võimalik turvaserverite IP-aadresside konflikt. X-tee keskkonnas (ee-dev, ee-test, EE) on vähemalt 2 ühesuguse välise IP-ga turvaserverit.
Turvaserver koodiga "SecurityServerCode" ei ole vastavas keskkonnas registreeritud. Alamsüsteem "subsysName" on tõenäoliselt registreeritud.
Võta ühendust X-tee keskusega (help@ria.ee), et tuvastada võimalik IP-aadresside konflikt.
Veendu, et päringud tehakse õige X-tee keskkonna (ee-dev, ee-test, EE) turvaserverile.
13.
Redundant subsystem code
1) Sõnumipäringu päises on defineeritud atribuut:
<xrd:client id:objectType="MEMBER">
kuid päis sisaldab ka alamsüsteemi elementi:
<id:subsystemCode>SUBSYSTEM</id:subsystemCode>
2) Alamsüsteem ($susbSystemCode) ei ole registreeritud vastavas keskonnas (ee-dev, ee-test, EE)
Client 'SUBSYSTEM: $xRoadInstance / $memberClass / $memberCode / $subSystemCode' not found
Tarbija turvaserveri puhul - võimalik, et päring tehakse vale turvaserveri või x-tee instantsi (ee-dev, ee-test, EE) pihta ehk kuhu pole registreeritud alamsüsteemi SUBSYSTEM mille pihta päring tehakse;
Teenuse pakkuja turvaserveri puhul ei ole seadistatud korrektselt veebiteenuse URLi.
Kontrollida päringu sisu, et tarbija ja teenuse pakkuja x-tee instants oleks sama (nt ee-dev'ist ei saa saata päringut ee-test'i) ning alamsüsteem oleks olemas ja registreeritud;
Response from server proxy is not consistent with request Response headers are not consistent with the request headers Field 'issue' does not match in request and response connect timed out
Päringu esitaja sõnumi päises olev mingi element (antud näites "issue") on tühi või päringu vastuses olevad päise elemendid erinevad päringu esitaja omast.
Server.ClientProxy.SslAuthenticationFailed: Client (...) specifies HTTPS but did not supply TLS certificate
Alates turvaserveri tarkvara versioonist 6.9.5, kasutatakse turvaserveri omaniku (MEMBER) alt käivitatud metateenuse puhul vaikimisi HTTPS ühendust. Juhul, kui teie infosüsteemi TLS sertifikaat ei ole registreeritud turvaserveris kuvatakse veateate
Server.ServerProxy.MissingSignature: Request does not have signature
Transpordiprotokollis kirjeldatud käitumine. Turvaserver kiiruse eesmärgil edastab sõnumi koheselt ja üritab sõnumi lõppu e-Templi panna. Juhul kui sõnumi edastaja turvaserveril tekkib mingi tõrge nt kettamaht saab täis, jääb sõnum poolikuks (e-Templita). Ilma e-Templita sõnumit vastuvõttev turvaserver ignoreerib seda sõnumit tekitades sellekohast veateadet proxy.log-is
MISPi konfiguratsioni failis on toodangukeskkonna instantsi väärtus väikeste tähtedega 'ee', aga peab olema 'EE'. Probleem esineb ainult siis kui MISP tarkvara uuendatakse, sest uuendamise ei kirjutada konfiguratsiooni faili üle.
Veenduge, et MISP konfiguratsioonifailis /var/lib/tomcat7/webapps/misp2/WEB-INF/classes/config.cfg oleks xroad_instances="ee-dev,ee-test,EE".
30.
Name in certificate does not match name in message
Usaldusteenusepakkkuja (SK ID Solution) on väljastanud e-Templi sertifikaati milles "Subject: 2.5.4.97 =" väärtus ebakorrektne ning ei ühti X-tee liikmeklassi koodiga (MemberCode)
Paluda uut sertifikaati usalduteenuse pakkujalt. Alates turvaserveri v 6.16.0-0.20171128173309 Vastavused "Subject: 2.5.4.97 =" ja "MemberCode" GO:EE = GOV – Eesti riigi ja Eesti kohalike omavalitsuste asutused NP:EE = NGO – Eesti sihtasutused ja mittetulundusühingud NTREE = COM – Eesti erasektori asutused NTRxx = NEE – Väilisriikide asutused
31.
HSM partitsiooni pole võimalik pärast versioonile 6.9.5 upgrade'i sisse logida / Tokenid "Keys & Certificates" vaates on hallid, LOGIN nupp on inaktiivne.
Probleemi juurpõhjus on HSM klastrite (token_id_format parameetri) juures tehtud tööd, mis parandas slotIndex määramisel tehtud ammuse vea.
Mõndade HSMide puhul (nt. Thales ) on aidanud üks a) või b) variantidest:
a) Keyconfi muutmine – 1) Palunkindlastitehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml 2) Vaadake proxy-console'i, et mis tokenid all võtmed paistavad
$ sudo -u xroad -i signer-console
3) Tehke signer'ile stop:
$ sudo service xroad-signer stop
4) Keyconf'is muutke id selleks, mis signer-console ütles. 5) Tehke signer'ile start:
$ sudo service xroad-signer start
6) Vaadake, kas lahendas mure.
b) Keyconfi kustutamine ja uuesti tekitamine – 1) Palunkindlastitehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml ning otsige serdid või parsige keyconfi'i. 2) Tehke signer'ile stop:
$ sudo service xroad-signer stop
3) Kustutage keyconf (sellepärast ongi oluline, et tegite varukoopia); 4) Tehke signer'ile start:
$ sudo service xroad-signer start
5) Importige serdid uuesti. 6) Vaadake, kas lahendas mure
32.
Request is not allowed: SERVICE: ...
Teenus mille pihta päringut tehakse ei ole alamsüsteemile avatud.
Palun võtke ühendust SK ID Solutions AS-ga ning paluge neil üle kontrollida Teie turvaserveri ajatempliteenuse ligipääs ja ühendused.
Teenuste monitooringus (operational monitoring, opmon) enim esinevad veakoodid ja võimalikud lahendused neile
34. Server.ClientProxy.NetworkError: Could not connect to any target host ([https://IP:5500/])
Kontrolli, et veateates oleva IP-ga turvaserver aktsepteeriks päringuid pordile 5500 ja 5577. Sisenevale liiklusele peavad olema avatud tulemüüris TCP pordid 5500 ja 5577 järgnevatele RIA IP-dele vastavalt keskkonnale:
ee-dev - 195.80.123.169
ee-test - 195.80.123.164
EE - 195.80.123.159
Kui antud turvaserver pole enam reaalselt kasutusel, siis palun saatke kirihelp@ria.ee infoga asutuse registrikoodist ja turvaserveri nimest, mille võime kustutada.
35. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: java.lang.IllegalArgumentException: one of either dataSource or dataSourceClassName must be specified
Veendu, et andmebaasiga on ühendus:
$ psql -U messagelog -W -h 127.0.0.1
Andmebaasi kasutaja messagelog parooli saab vaadata /etc/xroad/db.properties failist.
36. Server.ServerProxy.OpMonitor.InternalError: Could not initialize class ee.ria.xroad.opmonitordaemon.OperationalDataRequestHandler
Alates versioonist 6.18.0 on antud viga parandatud.
37. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: Error accessing database (op-monitor)
Turvaserver ei saa sisemise andmebaasiga ühendust (nt andmebaasi kasutaja parool on vale). Võimalik seletus võib peituda andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log.
Võib proovida ka restartida teenust:
$ sudo service xroad-opmonitor restart $ sudo service postgresql restart
Xroad-monitor ja või opmonitoring teenus on paigaldamata. Kogu paketi paigaldamise käsk
$ sudo apt-get install xroad-securityserver-ee
Võimalik seletus (nt andmebaasi kasutaja parool on vale) võib peituda ka andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. Võib proovida ka restartida teenust:
$ sudo service xroad-opmonitor restart
39. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member
40. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member HttpError: Connection to Signer (port 5558) timed out
Restart teenusele. Selleks käivita turvaserveri käsureal käsk:
$ sudo service xroad-signer restart
Kontrolli, et turvaserveri haldusliidese menüüs „Management“ -> „Keys and Certificates“ lehel olev Token ja selle all olev Key read on valgel taustal.
Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsureal järgmine käsk:
$ sudo -u xroad -i signer-console list-certs
41. Server.ServerProxy.ServiceFailed.InvalidSecurityServer: Invalid security server identifier
Uue turvaserveri paigaldamisel peab turvaserveri enda kood (tähis) olema unikaalne kõigi asutusele kuuluvate (ka varem kuulunud) turvaserveri koodide (tähiste) hulgas. Tegemist on asutuse sees oleva unikaalse turvaserveri indentifikaatoriga.
42. Server.ClientProxy.SslAuthenticationFailed: Service provider did not send correct authentication certificate
Palun kontrollige turvaserveri haldusliideses Keys and Certificates vaates enda kasutusel olevaid sertifikaate. Sertifikaadid algusega "X-road-6 Server CA ..." on tühistatud 19.02.2020. Nende asemele on vaja tellida uued sertifikaadid.
Uue sertifikaadi tellimiseks:
turvaserveris Keys and Certificates vaates luua uus võti (generate key)
võtmele genereerida uus sertifikaadi taotlus (generate CSR)
Certification Service väärtuseks valida kindlasti "TEST of KLASS3-RIA 2018 G1"
CSR Format väärtuseks jääb PEM
edasta genereeritud sertifikaadi taotlus e-postile help@ria.ee koos asutuse nimega, registrikoodiga, turvaserveri nimega ning genereeritud AUTH ja/või SIGN csr-id manusena.
Logi kontroll, uurida ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku juhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.
$ less /var/log/xroad/configuration_client.log
44. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages: no timestamping services configured
Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud.
45. Server.ServerProxy.LoggingFailed.InternalError: Ask timed out on [Actor[akka://Proxy/user/LogManager#2110275378]] after [40000 ms]. Sender[null] sent message of type "ee.ria.xroad.common.messagelog.LogMessage".
Veendu, et turvaserver pole ülekoormatud või kõvaketta maht pole täis saanud. Võid proovida ka masina restarti.
46. Server.ServerProxy.LoggingFailed.InternalError: Futures timed out after [40 seconds]
Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud. Turvaserveri menüüs "Management" -> "Diagnostics" lehel Timestamping lahtris peab Message olek sisaldama teadet "Connection ok". Võib aidata teenuse taaskäivitus: "sudo service xroad-proxy restart".
Soovitav on uurida ka logisid ajatembeldamis vigade kohta logifailist /var/lib/proxy.log. Võib juhtuda ka, et ajatembeldamisteenust pakkuv osapool on teie turvaserveri ip aadressi jätnud lisamata lubatud aadressite hulka.
49. Server.ServerProxy.CannotCreateSignature.Signer.TokenNotAvailable: Token not available
Veendu, et turvaserveri haldusliideses menüüs „Management“ -> „Keys and Certificates“ on Token ja selle all olev Key rida valgel taustal.
Vajadusel tuleb token ja või võtmed uuesti genereerida vastavalt turvaserverikasutusjuhendile.
50. Server.ServerProxy.OutdatedGlobalConf: Global configuration is expired
Variandid, et kas sel hetkel ei saadud keskserveriga ühendust või ei saadud allaletud faili Ubuntu failisüsteemi turvaserveris edukalt salvestatud.
Veendu, et turvaserveri ketas pole täis: kontrolli logisid ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku puhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.
$ less /var/log/xroad/configuration_client.log
Võib proovida ka teenuse taaskäivitamist käsuga
$ sudo service xroad-signer restart
51. Turvaserveri logisse ei teki uuemaid proxy.log kandeid
Juhul kui turvaserveri versioon on 6.18.0-1 või uuem, siis on tõenäoliselt põhjuseks logbacki klassi XRoadSizeBasedRollingPolicy eemaldamine turvaserverist ning vastav seadistusfail on jäänud uuenduse käigus üle kirjutamata.
Sellisel juhul ava turvaserveris /etc/xroad/conf.d/proxy-logback.xml fail ja asenda järgnevad read:
Alates 6.18.0 X-tee versioonist kontrollib ja edastab turvaserver rakenduse poolt talle edastatud HTTP päringu päises olevat SOAPAction välja edasi teise osapoole turvaserverile. Varasemates versioonides eemaldati SOAPAction väli enne edastamist HTTP päisest. Seega nüüd on oluline antud väli korrektselt kirjeldada vastavaltstandardile punkt 6.1.1 Juhime tähelepanu, et SOAPAction välja väärtus on kas tühi või ümbritsetud jutumärkidega. Kui üle X-tee päritava teenuse rakendus ei nõua SOAPAction välja, siis lihtsam lahendus on eemaldada enda päringut tegevas rakenduses üldse HTTP POST päringu päisest SOAPAction väli. Varuvariandina võib ka kaaluda turvaserveri uuendamiseelse seisu taastamist varukoopiast.
54. Client not found in global configuration.
Antud veateadet kuvatakse, kui alamsüsteemi omav asutus ($memberCode) ei ole X-teega liitunud ja keskserveris kirjeldatud.
X-tee test- ja toodangukeskkonnaga liitumiseks peab asutus ennastRIHA's kirjeldama. Selle tulemusena lisab RIA kasutajatugi selle asutuse X-tee test- ja toodangukeskkonna keskserverisse.
X-tee arenduskeskkonnaga liitumiseks ei pea asutust RIHA's kirjeldama ning piisab, kui edastate oma asutuse info aadressile: help@ria.ee.
55. Fault Code: Server.ClientProxy.NetworkError ... Name or service not known.
No address associated with hostname
Veenduge, et Teie turvaserver on X-teel registreeritud õige välise aadressiga. Hetkel registreeritud aadressi saate teada, pöördudes RIA kasutajatoe poole: help@ria.ee. Turvaserveri aadressi muutmine käib RIA kasutajatoe kaudu ning selleks ei pea auth sertifikaati uuesti registreerima.
Lisaks võivad mõned vead ja lahendused olla raporteeritud ühisarenduse keskkonnas: