27. Korduma Kippuvad Küsimused (KKK)

Üldkasulik materjal

==> X-tee testkeskkonna dokumentatsioon ja paigalduspakid <==

==> X-tee toodangukeskkonna dokumentatsioon ja paigalduspakid <==

Veendu, et xroad-* protsessid jooksevad:

Ubuntu 14.04:

$ initctl list | grep xroad

Ubuntu 18.04:

$ sudo systemctl list-units "xroad*"

Turvaserveris asuvate pakettide versioonide vaatamine:

$ dpkg -l | egrep "xroad|xtee" | sort

Võimalike uuenduste kontroll:

$ apt list --upgradable

Kasulikud viited

Turvaserveris enim esinevad veakoodid ja võimalikud lahendused neile

  Vea kood Põhjus Lahendus
1. Failed to get authentication key
Token'i PIN on sisestamata.
NB! PIN tuleb sisestada iga kord peale turvaserveri restarti.

Sisesta Token'i PIN turvaserveri haldusliideses.
2. Could not connect to any target host ([https://$securityServerName:5500/])
või
Target host is null.
  1. Vale turvaserveri IP-aadress. Tõenäoliselt on turvaserver seadistatud suhtlema välisvõrguga kasutades sisevõrgu IP;
  2. Päringu esitanud turvaserveris, ei ole lubatud sissetulevate ühenduste port.

Peavad olema avatud:
  • väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443
  • sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577

Vaata allpool ka punkt 34 soovitusi.

Turvaserveri IP-aadressi muutmiseks tuleb saata e-kiri meiliaadressile help@ria.ee pealkirjaga „IP-aadressi muutmine“.

Kirjale tuleb lisada järgmised andmed:

  • asutuse nimi ja registrikood,
  • turvaserveri nimi (server code),
  • keskkond, mille IP-aadressi muudetakse,
  • turvaserveri vana ja uus IP,
  • kontaktisiku andmed (nimi, e-post, telefon)
3. Security server has no valid authentication certificate, OCSP response not found, Could not find active authentication key for security server
  1. Usaldusteenusepakkuja (CA) OCSP päringuid teenindav server ei ole kättesaadav.
  2. Sertifikaat (AUTH, SIGN) ei ole registreeritud CA OCSP kataloogi.
Käivita esmalt turvaserveri käsurealt järgmised käsud:
$ sudo service xroad-signer stop
$ sudo mv /var/cache/xroad/*ocsp /tmp
$ sudo service xroad-signer start
  1. Veendu, kas usaldusteenuse pakkuja (CA) OCSP päringuid teenindav server on kättesaadav;
  2. Veendu, et sertifikaat (AUTH, SIGN) on registreeritud usaldusteenusepakkuja OCSP kataloogi. Nt: SK ID Solutions AS poolt väljastatud TEST sertifikaadid tuleb sertifikaatide tellijal laadida SK kataloogi: https://demo.sk.ee/upload_cert/
4. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member SIGN sertifikaat puudub või ei ole kättesaadav.
  1. Kontrolli, kas SIGN sertifikaat on aktiveeritud, selleks ava turvaserveri haldusliides "Management" → "Keys and Certificates". Kontrolli, et lehel olev Token ja selle all olev Key read on valgel taustal.

    Kui SIGN sertifikaat ei ole aktiveeritud, siis vajuta SIGN sertifikaadi juures "ACTIVATE".
  2. Kontrolli, kas token, kus sertifikaat asub on aktiivne. Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsurealt järgmine käsk: 
$ sudo -u xroad -i signer-console list-certs

Kui ei ole "active", siis sisesta Token'i PIN.

5. Could not find addresses for service provider ...
Päringus olevad elementide väärtused on vigased või neid pole olemas vastavas X-tee keskkonnas:

<id:memberClass>$memberClass</id:memberClass>
<id:memberCode>$memberCode</id:memberCode>
<id:subsystemCode>$subSystemCode</id:subsystemCode>
Registreeri vastavas X-tee keskkonnas puuduolev liige või alamsüsteem.
6. TURVASERVER: unknown error : Request processing error

TURVASERVER: Temporary failure in name resolution
Turvaserveris alamsüsteemi all on määramata andmeteenuste URL.
Vaata turvaserveri haldusliideses:
Subsystem → Services → mingiTeenus → EDIT → Service URL

http://TURVASERVER/cgi-bin/consumer_proxy
tuleb muuta vastavalt liidestuskomponendi (adapterserveri) parameetritele.
7.
  • Server responded with error 404: Not Found
  1. Tõenäoliselt ei ole teenuse osutaja serveris andmeteenused kättesaadaval.
  2. Võimalik, et tegemist on vale teenuse URL-iga.
Kontrolli teenuse osutaja infosüsteemi serveris, kas teenused on saadaval samalt URL-ilt, mis on turvaserveris teenuse defineeritud URL turvaserveri haldusliideses:
Subsystem → Services → mingiTeenus → EDIT → Service URL
8. TLS handshake with server https://$securityServerName failed, server certificate missing from configuration

või

Server certificate is not trusted
Teenuse osutaja / tarbija infosüsteemi serveri sõrmejälg (fingerprint) ei ole sama, mis imporditi turvaserverisse.
Veendu, kas turvaserverisse imporditud TLS sertifikaat on sama, mis infosüsteemi serveris olev sertifikaat.

Käivita turvaserveri käsurealt järgmine käsk:
$ openssl s_client -connect Infosüsteemi_HostName_või_IP:443 2>/dev/null | openssl x509 -noout -fingerprint

Sõrmejälg peab olema sama, mis on siin: Subsystem → Internal Servers → Internal TLS Sertificates
9. Service provider did not send correct authentication certificate

(Failed to send registration request:)
(Server.ClientProxy.SslAuthenticationFailed)

  1. Teenuseosutaja või tarbija turvaserveris on AUTH seritfikaat DEACTIVATED või Softtokeni PIN on sisestamata.
  2. Teenust osutav infosüsteemi server ei ole kättesaadav.
  3. Turvaserverile ei ole lubatud vajalikud pordid.
  4. proxy.log sisaldab kirjet "Error while getting peer certificates" ja "peer not authenticated".
  5. Teenuseosutaja tulemüüris on klientide IP ja/või portide piirangud
  6. Mingi põhjusel teenusetarbija ja või teenusepakkuja turvaserveris ei ole saadaval valiidne OCSP kehtivuskinnitus.
  7. Sertifikaadid algusega "X-road-6 Server CA ..." ei kehti alates 19.02.2020. Tuleb tellida uued sertifikaadid "TEST of KLASS3-RIA 2018 G1" alt
  1. Veendu, et AUTH sertifikaat on staatuses ACTIVEja/või sisesta softtokeni PIN
  2. Veendu, et andmeteenust osutav infosüsteem on kättesaadav.
  3. Avatud peavad olema:
    • väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443
  • sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577
    4) Veendu, et teenuseosutaja on lubanud tulemüüris pöördumist sinu turvaserverile, nt.
    $ openssl s_client -connect $securityServerName:5500

    5) proovi OCSP cache tühjendamist:
    $ sudo service xroad-signer stop
    $ sudo mv /var/cache/xroad/*ocsp /tmp $ sudo service xroad-signer start

    taaskäivita  xroad-proxy teenuse:
    $ sudo service xroad-proxy stop
    $ sudo service xroad-proxy start
    10. HttpError: Connection to Signer (port 5558) timed out
    Veel teadmata.
    Üks võimalik põhjus sessiooni katkemine HSM seadmega.
    Käivita turvaserveri käsurealt:
    $ sudo service xroad-signer stop
    $ sudo service xroad-signer start

    11. Could not get response from adapter server actor

    Turvaserverisse ei saabu infosüsteemi poolt vastuspäring.

    Kontrolli infosüsteemi kattesaadavust.
    12. SUBSYSTEM:$xRoadInstance/ $memberClass/ $memberCode/ $subSystemCode' is not registered at security server SERVER:$xRoadInstance/ $memberClass/ $memberCode/ $securityServerCode

    1. Võimalik turvaserverite IP-aadresside konflikt. X-tee keskkonnas (ee-dev, ee-test, EE) on vähemalt 2 ühesuguse välise IP-ga turvaserverit.
    2. Turvaserver koodiga "SecurityServerCode" ei ole vastavas keskkonnas registreeritud. Alamsüsteem "subsysName" on tõenäoliselt registreeritud.
    1. Võta ühendust X-tee keskusega (help@ria.ee), et tuvastada võimalik IP-aadresside konflikt.
    2. Veendu, et päringud tehakse õige X-tee keskkonna (ee-dev, ee-test, EE) turvaserverile.

    13. Redundant subsystem code

    1) Sõnumipäringu päises on defineeritud atribuut:
    <xrd:client id:objectType="MEMBER">
    kuid päis sisaldab ka alamsüsteemi elementi:
    <id:subsystemCode>SUBSYSTEM</id:subsystemCode>

    2) Alamsüsteem ($susbSystemCode) ei ole registreeritud  vastavas keskonnas (ee-dev, ee-test, EE)

    3) Kirjaviga alamsüsteemi ($subSystemCode) nimetuses

    1) Kasuta:
    <xrd:client id:objectType="SUBSYSTEM">

    2) registreeri alamsüsteem vastavas keskonnas (ee-dev, ee-test, EE)

    3) paranda kirjaviga alamsüsteemi ($subSystemCode) koodis
    14. MISP2. XRoad v6 client list query response parsing failed. White spaces are required between publicId and systemId. Pöördutakse vale turvaserveri poole.
    Veendu, et portaali seadistuses on korrektsed "Asutuse turvaserveri aadress" ja "Päringute saatmise aadress".

    15. Failed to find keys from token Veel teadmata, võimalik hetkeline ühenduse katkestus. Käivita turvaserveri käsurealt:
    $ sudo xroad-signer stop
    $ sudo xroad-signer start

    16. Fatal system error - contact system administrator Tõenäoliselt ei kuulu sisselogitav kasutajanimi xroad gruppi. Veendu, kas sisselogitav kasutajanimi on xroad grupis, selleks käivita turvaserveri käsureal järgmine käsk:
    $ cat /etc/group | grep xroad

    17. java.io.FileNotFoundException:
    Too many open files
    Avatud failide limiit on ületatud mõne protsessi tõttu. Kui probleem ilmneb, siis käivita turvaserveri käsurealt:
    $ for dir in /proc/*/fd; do \
       echo -n "$dir "; \
       pid=`expr "$dir" : '\/proc\/\(.*\)\/.*'`; \
       pname=`ps -p $pid -o comm=`; \
       echo -n "$pname "; \
       ls $dir 2>/dev/null | wc -l; \
    done | sort -n -k 3 | tail

    Näiteks leiad, et ühel protsessil on palju faile avatud:
    /proc/$procId/fd java 3978

    Uuri, mis faili on avatud:
    $ lsof -p $procId                 

    Näed, et "/etc/xroad/conf.d"

    Vaata kui palju on seda faili avatud kokku, selleks käivita käsk:
    $ lsof -p $procId | grep "/etc/xroad/conf.d" | wc -l                

    Selgita välja, mis failidega on probleem

    18. FAILED SelectChannelConnector@0.0.0.0:80: java.net.BindException: Address already in use Porte kasutavad mitte turvaserveri rakendused.
    Portide kasutuse vaatamiseks käivita turvaserveri käsureal järgmine käsk:
    $ netstat -nap | egrep ":80|:443|:5500"             
    või vaata võrguühenduste tabelit käsuga:
    $ netstat -nap

    19. Server.ServerProxy.LoggingFailed.DatabaseError: Error accessing database (messagelog) Tõrked turvaserveri andmebaasiga (Server.ServerProxy viitab tenusepakkuja turvaserveri veale)

    Alusta logide uurimisega:
    $ less /var/log/postgresql/ \
           /var/log/xroad/proxy.log
    20. Signer.FailedToGeneratePrivateKey.InternalError: CKR_FUNCTION_FAILED Tõenäoliselt ei ole xroad kasutaja listud nfast gruppi. Käivita turvaserveri käsureal järgmine käsk:
    $ usermod -a -G nfast xroad

    21. Server.ServerProxy.CannotCreateSignature.
    Signer.CannotSign.InternalError:  CKR_USER_NOT_LOGGED_IN
    Turvaserver ei saa HSM partitsiooniga ühendust.
    Veendu, kas probleem on Sinu turvaserveris, selleks käivita turvaserveri käsureal järgmine käsk:
    $ egrep "CKR_USER_NOT_LOGGED_IN" /var/log/xroad/signer.log
    Kui veateated eksisteerivad, siis seisneb probleem selles turvaserveris.
    1) Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active"

    Turvaserveri haldusliideses peab Token ja selle all olev Key rida olema valgel taustal.

    Käivita turvaserveri käsureal järgmine käsk:
    $ sudo -u xroad -i signer-console  list-certs
    2) Käivita turvaserveri käsureal järgmised käsud:
    $ sudo service xroad-signer stop 
    $ sudo service xroad-signer start

    22. Failed to register certificate: ConnectException:Connection refused (Connection refused) Tõenäoliselt ei ole turvaserverile avatud kõik vajalikud pordid. Avatud peavad olema:
    • väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443
    • sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577
    23. Client 'SUBSYSTEM: $xRoadInstance / $memberClass / $memberCode / $subSystemCode' not found







    1. Tarbija turvaserveri puhul - võimalik, et päring tehakse vale turvaserveri või x-tee instantsi (ee-dev, ee-test, EE) pihta ehk kuhu pole registreeritud alamsüsteemi SUBSYSTEM mille pihta päring tehakse;
    2. Teenuse pakkuja turvaserveri puhul ei ole seadistatud korrektselt veebiteenuse URLi.

    1. Kontrollida päringu sisu, et tarbija ja teenuse pakkuja x-tee instants oleks sama (nt ee-dev'ist ei saa saata päringut ee-test'i) ning alamsüsteem oleks olemas ja registreeritud;
    2. Kontrollida veebiteenuse URL'i. Turvaserveris: subsystem-name" -"Services" → "teenusenimi" → "EDIT" → "Service URL
    24. Server.ClientProxy.SslAuthenticationFailed.InternalError
    connect timed out
    Võimalik et päringu esitanud kliendi tulemüüris on pordid kinni.

    Avatud peavad olema:
    • väljuvate ühenduste pordid (turvaserverist välisvõrku): TCP 5500, 5577, 4001, 4000, 80, 443
    • sisenevate ühenduste pordid (välisvõrgust turvaserverini): TCP 5500, 5577

    25. Response from server proxy is not consistent with request
    Response headers are not consistent with the request headers
    Field 'issue' does not match in request and response
    connect timed out


    Päringu esitaja sõnumi päises olev mingi element (antud näites "issue") on tühi või päringu vastuses olevad päise elemendid erinevad päringu esitaja omast.

    X-tee sõnumiprotokoll https://www.x-tee.ee/docs/live/xroad/pr-mess_x-road_message_protocol.html ütleb ,et teenusepakkuja peab päise muutmata kujul vastuses tagastama.
    26. Server.ClientProxy.SslAuthenticationFailed:
    Client (...) specifies HTTPS but did not supply TLS certificate
    Alates turvaserveri tarkvara versioonist 6.9.5, kasutatakse turvaserveri omaniku (MEMBER) alt käivitatud metateenuse puhul vaikimisi HTTPS ühendust.
    Juhul, kui teie infosüsteemi TLS sertifikaat ei ole registreeritud turvaserveris kuvatakse veateate


    Lahendus on kirjeldatud turvaserveri kasutusjuhendis:
    "9 Communication with the Client Information Systems"
     https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems
    RIA ei soovita HTTP ühendust turvakaalutlustel kasutada.

    27. Server.ServerProxy.MissingSignature: Request does not have signature Transpordiprotokollis kirjeldatud käitumine. Turvaserver kiiruse eesmärgil edastab sõnumi koheselt ja üritab sõnumi lõppu e-Templi panna. Juhul kui sõnumi edastaja turvaserveril tekkib mingi tõrge nt kettamaht saab täis, jääb sõnum poolikuks (e-Templita). Ilma e-Templita sõnumit vastuvõttev turvaserver ignoreerib seda sõnumit tekitades sellekohast veateadet proxy.log-is

    Turvaserveri normaalse tööoleku taastamine https://www.x-tee.ee/docs/live/xroad/pr-messtransp_x-road_message_transport_protocol.html
    28. Server.ServerProxy.ServiceFailed.IOError
    Received fatal alert: certificate_unknown
    Klient-Server TLS seadistus infosüsteemi ja turvaserver vahel on ebakorrektne

    Klient-server TLS kommuniktsiooni seadistuse korrastamine


    Kõik mis turvaserveri TLS seadistustus puudutab on kirjas X-tee kasutusjuhendis (nii kliendi "service consumer" kui ka serveri "service provider" rollis).
    https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems

    29. MISP2:
    XROAD_SOAP_RESPONSE_FAULT: X-Road SOAP response contained Fault
    Server.ClientProxy.UnknownMember Client 'SUBSYSTEM: $xRoadInstance/ $memberClass/ $memberCode/ $subSystemCode' not found"

    MISPi konfiguratsioni failis on toodangukeskkonna instantsi väärtus väikeste tähtedega 'ee', aga peab olema 'EE'.
    Probleem esineb ainult siis kui MISP tarkvara uuendatakse, sest uuendamise ei kirjutada konfiguratsiooni faili üle.


    Veenduge, et MISP konfiguratsioonifailis /var/lib/tomcat7/webapps/misp2/WEB-INF/classes/config.cfg oleks xroad_instances="ee-dev,ee-test,EE".
    30. Name in certificate does not match name in message
    Usaldusteenusepakkkuja (SK ID Solution) on väljastanud e-Templi sertifikaati milles "Subject: 2.5.4.97 =" väärtus ebakorrektne ning ei ühti X-tee liikmeklassi koodiga (MemberCode)

    Paluda uut sertifikaati usalduteenuse pakkujalt.
    Alates turvaserveri v 6.16.0-0.20171128173309 
    Vastavused "Subject: 2.5.4.97 =" ja "MemberCode"
    GO:EE = GOV – Eesti riigi ja Eesti kohalike omavalitsuste asutused
    NP:EE = NGO – Eesti sihtasutused ja mittetulundusühingud
    NTREE = COM – Eesti erasektori asutused
    NTRxx = NEE – Väilisriikide asutused
    31. HSM partitsiooni pole võimalik pärast versioonile 6.9.5 upgrade'i sisse logida / Tokenid "Keys & Certificates" vaates on hallid, LOGIN nupp on inaktiivne.
    Probleemi juurpõhjus on HSM klastrite (token_id_format parameetri) juures tehtud tööd, mis parandas slotIndex määramisel tehtud ammuse vea.
    Täpsemalt kirjas siin: https://x-tee.ee/packages/scripts/slotindex_fix.txt

    Mõndade HSMide puhul (nt. Thales ) on aidanud üks a) või b) variantidest:

    a) Keyconfi muutmine –
    1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml
    2) Vaadake proxy-console'i, et mis tokenid all võtmed paistavad

    $ sudo -u xroad -i signer-console

    3) Tehke signer'ile stop: 

    $ sudo service xroad-signer stop

    4) Keyconf'is muutke id selleks, mis signer-console ütles.
    5) Tehke signer'ile start: 

    $ sudo service xroad-signer start

    6) Vaadake, kas lahendas mure.

    b) Keyconfi kustutamine ja uuesti tekitamine –
    1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml ning otsige serdid või parsige keyconfi'i.
    2) Tehke signer'ile stop: 

    $ sudo service xroad-signer stop
    3) Kustutage keyconf (sellepärast ongi oluline, et tegite varukoopia);
    4) Tehke signer'ile start: 

    $ sudo service xroad-signer start
    5) Importige serdid uuesti.
    6) Vaadake, kas lahendas mure


    32. Request is not allowed: SERVICE: ... Teenus mille pihta päringut tehakse ei ole alamsüsteemile avatud. Võtke ühendust teenuse omanikuga ning paluge neilt teenuse ligipääsu võimaldamist Teie alamsüsteemile.
    33.  HTTP error: 403 - Forbidden Turvaserverile ei ole ajatempliteenust avatud ehk kas puudub leping või ei ole teenusepakkuja lubanud Teie turvaserveri IP-d ehk puudub teenusele ligipääs.
    https://www.sk.ee/teenused/ajatempliteenus/tehniline-lisainfo/
    Palun võtke ühendust SK ID Solutions AS-ga ning paluge neil üle kontrollida Teie turvaserveri ajatempliteenuse ligipääs ja ühendused.


    Teenuste monitooringus (operational monitoring, opmon) enim esinevad veakoodid ja võimalikud lahendused neile

    34. Server.ClientProxy.NetworkError: Could not connect to any target host ([https://IP:5500/])

    Kontrolli, et veateates oleva IP-ga turvaserver aktsepteeriks päringuid pordile 5500 ja 5577. Sisenevale liiklusele peavad olema avatud tulemüüris TCP pordid 5500 ja 5577 järgnevatele RIA IP-dele vastavalt keskkonnale:

    • ee-dev - 195.80.123.169
    • ee-test - 195.80.123.164
    • EE - 195.80.123.159

    Kui antud turvaserver pole enam reaalselt kasutusel, siis palun saatke kiri help@ria.ee infoga asutuse registrikoodist ja turvaserveri nimest, mille võime kustutada.


    35. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: java.lang.IllegalArgumentException: one of either dataSource or dataSourceClassName must be specified

    Veendu, et andmebaasiga on ühendus: 

    $ psql -U messagelog -W -h 127.0.0.1

    Andmebaasi kasutaja messagelog parooli saab vaadata /etc/xroad/db.properties failist.

    36. Server.ServerProxy.OpMonitor.InternalError: Could not initialize class ee.ria.xroad.opmonitordaemon.OperationalDataRequestHandler

    Uuenda turvaserver uuema tarkvara peale.

    $ apt dist upgrade apt install xroad-security-server-ee 

    Alates versioonist 6.18.0 on antud viga parandatud.


    37. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: Error accessing database (op-monitor)

    Turvaserver ei saa sisemise andmebaasiga ühendust (nt andmebaasi kasutaja parool on vale). Võimalik seletus võib peituda andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. 

    Võib proovida ka restartida teenust:

    $ sudo service xroad-opmonitor restart
    $ sudo service postgresql restart


    38. Server.ServerProxy.ServiceFailed.NetworkError: Connect to localhost:2080 [localhost/127.0.0.1] failed: Connection refused (Connection refused)  

    Xroad-monitor ja või opmonitoring teenus on paigaldamata. Kogu paketi paigaldamise käsk

    $ sudo apt-get install xroad-securityserver-ee

    Võimalik seletus (nt andmebaasi kasutaja parool on vale) võib peituda ka andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. Võib proovida ka restartida teenust:

    $ sudo service xroad-opmonitor restart


    39. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member

    Vaata punkt 4


    40. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member  HttpError: Connection to Signer (port 5558) timed out

    Restart teenusele. Selleks käivita turvaserveri käsureal käsk: 

    $ sudo service xroad-signer restart

    Kontrolli, et turvaserveri haldusliidese menüüs „Management“ -> „Keys and Certificates“ lehel olev Token ja selle all olev Key read on valgel taustal.

    Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsureal järgmine käsk: 

    $ sudo -u xroad -i signer-console  list-certs


    41. Server.ServerProxy.ServiceFailed.InvalidSecurityServer: Invalid security server identifier 

    Uue turvaserveri paigaldamisel peab turvaserveri enda kood (tähis) olema unikaalne kõigi asutusele kuuluvate (ka varem kuulunud) turvaserveri koodide (tähiste) hulgas. Tegemist on asutuse sees oleva unikaalse turvaserveri indentifikaatoriga.


    42. Server.ClientProxy.SslAuthenticationFailed: Service provider did not send correct authentication certificate

    Palun kontrollige turvaserveri haldusliideses Keys and Certificates vaates enda kasutusel olevaid sertifikaate. Sertifikaadid algusega "X-road-6 Server CA ..." on tühistatud 19.02.2020. Nende asemele on vaja tellida uued sertifikaadid. 

    Uue sertifikaadi tellimiseks:

    • turvaserveris Keys and Certificates vaates luua uus võti (generate key)
    • võtmele genereerida uus sertifikaadi taotlus (generate CSR)
    • Certification Service väärtuseks valida kindlasti "TEST of KLASS3-RIA 2018 G1"
    • CSR Format väärtuseks jääb PEM
    • edasta genereeritud sertifikaadi taotlus e-postile help@ria.ee koos asutuse nimega, registrikoodiga, turvaserveri nimega ning genereeritud AUTH ja/või SIGN csr-id manusena.

    Vaata ka eespool punkti 9.


    43. Server.ClientProxy.SslAuthenticationFailed.InternalError: Could not find OCSP response for certificate

    Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga 

    $ apt list --upgradable

    Soovitame uuendada xroad-* teenused kõige uuema seisuni. Uuenduste puudmisel restart teenusele 

    $ sudo service xroad-signer restart

    Logi kontroll, uurida ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku juhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.

    $ less /var/log/xroad/configuration_client.log


    44. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages: no timestamping services configured

    Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud.


    45. Server.ServerProxy.LoggingFailed.InternalError: Ask timed out on [Actor[akka://Proxy/user/LogManager#2110275378]] after [40000 ms]. Sender[null] sent message of type "ee.ria.xroad.common.messagelog.LogMessage".

    Veendu, et turvaserver pole ülekoormatud või kõvaketta maht pole täis saanud. Võid proovida ka masina restarti.


    46. Server.ServerProxy.LoggingFailed.InternalError: Futures timed out after [40 seconds]

    Veendu, et turvaserver pole ülekoormatud.


    47. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages

    Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud. Turvaserveri menüüs "Management" -> "Diagnostics" lehel Timestamping lahtris peab Message olek sisaldama teadet "Connection ok".  Võib aidata teenuse taaskäivitus: "sudo service xroad-proxy restart".

    Soovitav on uurida ka logisid ajatembeldamis vigade kohta logifailist /var/lib/proxy.log. Võib juhtuda ka, et ajatembeldamisteenust pakkuv osapool on teie turvaserveri ip aadressi jätnud lisamata lubatud aadressite hulka.


    48. Server.ServerProxy.UnknownService: Unknown service: SERVICE:EE/…/getSecurityServerOperationalData

    Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga 

    $ apt list --upgradable

    Monitooringu paketi puudumisel paigaldage puudu olevad pakid käsuga 

    $ sudo apt-get install xroad-securityserver-ee

    Vaata ka 52. X-tee turvaserveri tarkvara uuendamine 6.16 pealt 6.18.0 versioonile.


    49. Server.ServerProxy.CannotCreateSignature.Signer.TokenNotAvailable: Token  not available

    Veendu, et turvaserveri haldusliideses menüüs „Management“ -> „Keys and Certificates“ on Token ja selle all olev Key rida valgel taustal.

    Vajadusel tuleb token ja või võtmed uuesti genereerida vastavalt turvaserveri kasutusjuhendile.


    50. Server.ServerProxy.OutdatedGlobalConf: Global configuration is expired

    Variandid, et kas sel hetkel ei saadud keskserveriga ühendust või ei saadud allaletud faili Ubuntu failisüsteemi turvaserveris edukalt salvestatud.

    Veendu, et turvaserveri ketas pole täis: kontrolli logisid ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku puhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.

    $ less /var/log/xroad/configuration_client.log

     Võib proovida ka teenuse taaskäivitamist käsuga

    $ sudo service xroad-signer restart



    51. Turvaserveri logisse ei teki uuemaid proxy.log kandeid

    Juhul kui turvaserveri versioon on 6.18.0-1 või uuem, siis on tõenäoliselt põhjuseks logbacki klassi XRoadSizeBasedRollingPolicy eemaldamine turvaserverist ning vastav seadistusfail on jäänud uuenduse käigus üle kirjutamata.

    Sellisel juhul ava turvaserveris /etc/xroad/conf.d/proxy-logback.xml fail ja asenda järgnevad read:

    <rollingPolicy class="ee.ria.xroad.common.XRoadSizeBasedRollingPolicy">
    <fileNamePattern>${logOutputPath}/proxy.%i.log.zip</fileNamePattern>
    </rollingPolicy>
    <triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
    <maxFileSize>100MB</maxFileSize>
    </triggeringPolicy>

    järgnevate ridadega:

    <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
    <fileNamePattern>${logOutputPath}/proxy.%d{yyyy-MM-dd}.%i.log.zip</fileNamePattern>
        <maxFileSize>100MB</maxFileSize>
    </rollingPolicy>



    52. X-tee turvaserveri tarkvara uuendamine 6.16 pealt 6.18.0 versioonile.

    Repositooriumi vahetamise ja turvaserveri tarkvara uuendamise õige järjekord:

    1. Muuda APT source listi /etc/apt/sources.list.d/xroad.list
    1.1 Lisa xroad.list-i uus allikas: deb http://x-tee.ee/packages/live/xroad trusty main
    1.2 Eemalda read, mis sisaldavad http://x-road.eu/ allikat.

    2. Jõusta tehtud muudatused

    $ sudo apt-get update

    3. Uuendada esmalt PostgreSQL (PostgreSQL v9.4 kasutajad kasutavad „postgresql-9.4“ käsu lõpus)

    $ sudo apt-get install postgresql-9.3 --only-upgrade

    4. Paigalda uuem tarkvara:

    $ sudo apt-get install xroad-securityserver-ee

    5. Soovitav on uuendada ka ülejäänud tarkvara:

    $ sudo apt-get dist-upgrade

    Vaata ka Turveserveri installeerimise juhend


    53. soap:Server: The given SOAPAction ... does not match an operation

    Client.InvalidSoapAction: Malformed SOAPAction header

    Alates 6.18.0 X-tee versioonist kontrollib ja edastab turvaserver rakenduse poolt talle edastatud HTTP päringu päises olevat SOAPAction välja edasi teise osapoole turvaserverile. Varasemates versioonides eemaldati SOAPAction väli enne edastamist HTTP päisest. Seega nüüd on oluline antud väli korrektselt kirjeldada vastavalt standardile punkt 6.1.1
    Juhime tähelepanu, et SOAPAction välja väärtus on kas tühi või ümbritsetud jutumärkidega.
    Kui üle X-tee päritava teenuse rakendus ei nõua SOAPAction välja, siis lihtsam lahendus on eemaldada enda päringut tegevas rakenduses üldse HTTP POST päringu päisest SOAPAction väli. Varuvariandina võib ka kaaluda turvaserveri uuendamiseelse seisu taastamist varukoopiast.


    54. Client not found in global configuration.

    Antud veateadet kuvatakse, kui alamsüsteemi omav asutus ($memberCode) ei ole X-teega liitunud ja keskserveris kirjeldatud.

    X-tee test- ja toodangukeskkonnaga liitumiseks peab asutus ennast RIHA's kirjeldama. Selle tulemusena lisab RIA kasutajatugi selle asutuse X-tee test- ja toodangukeskkonna keskserverisse.

    X-tee arenduskeskkonnaga liitumiseks ei pea asutust RIHA's kirjeldama ning piisab, kui edastate oma asutuse info aadressile: help@ria.ee.


    55. Fault Code: Server.ClientProxy.NetworkError ... Name or service not known.

    No address associated with hostname

    Veenduge, et Teie turvaserver on X-teel registreeritud õige välise aadressiga. Hetkel registreeritud aadressi saate teada, pöördudes RIA kasutajatoe poole: help@ria.ee. Turvaserveri aadressi muutmine käib RIA kasutajatoe kaudu ning selleks ei pea auth sertifikaati uuesti registreerima.


    Lisaks võivad mõned vead ja lahendused olla raporteeritud ühisarenduse keskkonnas:

    https://x-road.global/resources

    Parandusettepanekute ja vearaportitega palun pöörduge help@ria.ee.

    Last modified: Wednesday, 11 March 2020, 12:50 PM