27. Korduma Kippuvad Küsimused (KKK)

Turvaserveris enim esinevad veakoodid ja võimalikud lahendused neile


Üldkasulik materjal:

Veendu, et xroad-* protsessid jooksevad:

Ubuntu 14.04:

initctl list | grep xroad

Ubuntu 18.04:

sudo systemctl list-units "xroad*"

Turvaserveris asuvate X-road pakettide versioonide vaatamine:

dpkg -l | egrep "xroad|xtee" | sort

Võimalike uuenduste kontroll:

apt list --upgradable


Kasulikud lingid:

Uuemate x-road tarkvara pakettide versioonid

Turvaserveri logide asukohad ja seletused

Signer-console käsurea õpetused 

Turvaserveri süsteemsed parameetrid

X-tee v6 keskkondade parameetrid



  Vea kood
Põhjus Lahendus
1. Failed to get authentication key
Token'i PIN on sisestamata.
NB! PIN tuleb sisestada iga kord peale turvaserveri restarti.

Sisesta Token'i PIN turvaserveri haldusliideses.
2. Could not connect to any target host ([https://....:5500/])
või
Target host is null.
1) Vale turvaserveri IP-aadress. Tõenäoliselt on turvaserver seadistatud suhtlema välisvõrguga kasutades sisevõrgu IP.

2) Päringu esitanud turvaserveris, ei ole lubatud sissetulevate ühenduste port.

Avatud peavad olema:
* väljuvate ühenduste pordid (turvaserverist välisvõrku):
TCP 5500, 5577, 4001, 4000, 80,443

* sisenevate ühenduste pordid (välisvõrgust turvaserverini):
TCP 5500, 5577


VAATA allpool ka punkt 32 soovitusi.

Turvaserveri IP-aadressi muutmiseks tuleb saata e-kiri meiliaadressile help@ria.ee pealkirjaga „IP-aadressi muutmine“.

Kirjale tuleb lisada järgmised andmed:

  • asutuse nimi ja registrikood,
  • turvaserveri nimi (server code),
  • keskkond, mille IP-aadressi muudetakse,
  • turvaserveri vana ja uus IP,
  • kontaktisiku andmed (nimi, e-post,
3. Security server has no valid authentication certificate, OCSP response not found, Could not find active authentication key for security server a) Usaldusteenusepakkuja (CA) OCSP päringuid teenindav server ei ole kättesaadav.
b) Sertifikaat (AUTH, SIGN) ei ole registreeritud CA OCSP kataloogi.
1) Esmalt käivita turvaserveri käsurealt järgmised käsud:
sudo service xroad-signer stop
sudo mv /var/cache/xroad/*ocsp /tmp
sudo service xroad-signer start

2) Veendu, kas usaldusteenusepakkuja (CA) OCSP päringuid teenindav server on kättesaadav.

3) Veendu, et sertifikaat (AUTH, SIGN) on registreeritud usaldusteenusepakkuja OCSP kataloogi.
Nt: SK ID Solutions AS poolt väljastatud TEST sertifikaadid tuleb sertifikaatide tellijal laadida SK kataloogi: https://demo.sk.ee/upload_cert/

4. Could not find any certificates for member SIGN sertifikaat ei ole kättesaadav.
1) Kontrolli, kas SIGN sertifikaat on aktiveeritud, selleks ava turvaserveri haldusliides ja vali "Keys and Certificates". Kui SIGN sertifikaat ei ole aktiveeritud, siis vajuta SIGN sertifikaadi juures "ACTIVATE".

2) Kontrolli, kas token, kus sertifikaat asub on aktiivne, selleks käivita turvaserveri käsurealt järgmine käsk:
sudo -u xroad -i signer-console list-certs
Kui ei ole "active", siis sisesta Token'i PIN.

5. Could not find addresses for service provider "

Päringus olevad elementide väärtused on vigased või neid pole olemas vastavas X-tee keskkonnas:              <id:memberClass> GOV</id:memberClass>          <id:memberCode> 1111111</id:memberCode>            <id:subsystemCode> subsysname </id:subsystemCode>

Registreeri vastavas X-tee keskkonnas puuduolev liige või alamsüsteem.
6. TURVASERVER: unknown error : Request processing error

TURVASERVER: Temporary failure in name resolution
Turvaserveris alamsüsteemi all on määramata andmeteenuste URL.
Vaata turvaserveri haldusliideses:
Subsystem → Services  →  mingiTeenus → EDIT → Service URL

http://TURVASERVER/cgi-bin/consumer_proxy
tuleb muuta vastavalt liidestuskomponendi (adapterserveri) parameetritele.
7. Server responded with error 404: Not Found a) Tõenäoliselt ei ole teenuse osutaja serveris andmeteenused kättesaadaval.
b) Võimalik, et tegemist on vale teenuse URL-iga.
Kontrolli teenuse osutaja infosüsteemi serveris, kas teenused on saadaval samalt URL-ilt, mis on turvaserveris teenuse defineeritud URL turvaserveri haldusliideses:
Subsystem → Services  →  mingiTeenus → EDIT → Service URL

8. TLS handshake with server https://...... failed, server certificate missing from configuration

või

Server certificate is not trusted
Teenuse osutaja/tarbija infosüsteemi serveri sõrmejälg (fingerprint) ei ole sama, mis imporditi turvaserverisse.
Veendu, kas turvaserverisse imporditud TLS sertifikaat on sama, mis infosüsteemi serveris olev sertifikaat.

Käivita turvaserveri käsurealt järgmine käsk:
openssl s_client -connect Infosüsteemi_HostName_või_IP:443 2>/dev/null | openssl x509 -noout -fingerprint

Sõrmejälg peab olema sama, mis on siin: Subsystem → Internal Servers  →  Internal TLS Sertificates

9. Service provider did not send correct authentication certificate

(Failed to send registration request:)
(Server.ClientProxy.SslAuthenticationFailed)


1) Teenuseosutaja või tarbija turvaserveris on AUTH seritfikaat DEACTIVATED või Softtokeni PIN on sisestamata.

2) Teenust osutav infosüsteemi server ei ole kättesaadav.

3) Turvaserverile ei ole lubatud vajalikud pordid.
proxy.log sisaldab kirjet "Error while getting peer certificates" ja "peer not authenticated".

4) Teenuseosutaja tulemüüris on klientide IP ja/või portide piirangud

5) Mingi põhjusel teenusetarbija ja või teenusepakkuja turvaserveris ei ole saadaval valiidne OCSP kehtivuskinnitus.
1) Veendu, et AUTH sertifikaat on staatuses ACTIVEja/või sisesta softtokeni PIN

2) Veendu, et andmeteenust osutav infosüsteem on kättesaadav.

3) Avatud peavad olema:
* väljuvate ühenduste pordid (turvaserverist välisvõrku):
TCP 5500, 5577, 4001, 4000, 80,443

* sisenevate ühenduste pordid (välisvõrgust turvaserverini):
TCP 5500, 5577

4) Veendu, et teenuseosutaja on lubanud tulemüüris pöördumist sinu turvaserverile
nt.
openssl s_client -connect teenuseosutaja.turva.serveri.IP:5500

5)
- proovi OCSP cache tühjendamist:
sudo service xroad-signer stop
sudo mv /var/cache/xroad/*ocsp /tmp
sudo service xroad-signer start

- taaskäivita  xroad-proxy teenuse:
sudo service xroad-proxy stop
sudo service xroad-proxy start

10. HttpError: Connection to Signer (port 5558) timed out
Veel teadmata.
Üks võimalik põhjus sessiooni katkemine HSM seadmega.
Käivita turvaserveri käsurealt:
sudo service xroad-signer stop
sudo service xroad-signer start

11. Could not get response from adapter server actor

Turvaserverisse ei saabu infosüsteemi poolt vastuspäring.

Kontrolli infosüsteemi kattesaadavust.
12. SUBSYSTEM:ee-dev/COM/1000000/subsysName' is not registered at security server SERVER:ee-dev/GOV/2000000/SecurityServerCode

a) Võimalik turvaserverite IP-aadresside konflikt. X-tee keskkonnas (ee-dev, ee-test, EE) on vähemalt 2 ühesuguse välise IP-ga turvaserverit.
b) Turvaserver koodiga "SecurityServerCode" ei ole vastavas keskkonnas registreeritud. Alamsüsteem "subsysName" on tõenäoliselt registreeritud.
1) Võta ühendust X-tee keskusega (help@ria.ee), et tuvastada võimalik IP-aadresside konflikt.

2) Veendu, et päringud tehakse õige X-tee keskkonna (ee-dev, ee-test, EE) turvaserverile.

13. Redundant subsystem code

1) Sõnumipäringu päises on defineeritud atribuut:
<xrd:client id:objectType="MEMBER">
kuid päis sisaldab ka alamsüsteemi elementi:
<id:subsystemCode>SUBSYSTEM1</id:subsystemCode>

2) Alamsüsteem (SubsystemCode) ei ole registreeritud  vastavas keskonnas (ee-dev, ee-test, EE)

3) Kirjaviga alamsüsteemi (SubsystemCode) nimetuses

1) Kasuta:
<xrd:client id:objectType="SUBSYSTEM">

2) registreeri alamsüsteem vastavas keskonnas (ee-dev, ee-test, EE)

3) paranda kirjaviga alamsüsteemi (SubsystemCode) nimetuses
14. MISP2. XRoad v6 client list query response parsing failed. White spaces are required between publicId and systemId.

Pöördutakse vale turvaserveri poole.
Veendu, et portaali seadistuses on korrektsed "Asutuse turvaserveri aadress" ja "Päringute saatmise aadress".

15. Failed to find keys from token Veel teadmata, võimalik hetkeline ühenduse katkestus. Käivita turvaserveri käsurealt:
sudo xroad-signer stop
sudo xroad-signer start

16. Fatal system error - contact system administrator Tõenäoliselt ei kuulu sisselogitav kasutajanimi xroad gruppi. Veendu, kas sisselogitav kasutajanimi on xroad grupis, selleks käivita turvaserveri käsureal järgmine käsk:
cat /etc/group | grep xroad

17. java.io.FileNotFoundException:
Too many open files
Avatud failide limiit on ületatud mõne protsessi tõttu. Kui probleem ilmneb, siis käivita turvaserveri käsurealt:
 
                    for dir in /proc/*/fd;
                        do
                            echo -n "$dir ";
                            pid=`expr "$dir" : '\/proc\/\(.*\)\/.*'`;
                            pname=`ps -p $pid -o comm=`;
                            echo -n "$pname ";
                            ls $dir 2>/dev/null | wc -l;
                        done | sort -n -k 3 | tail
				

Näiteks leiad, et ühel protsessil on palju faile avatud:
/proc/17437/fd java 3978

Uuri, mis faili on avatud:
lsof -p 17437

Näed, et "/etc/xroad/conf.d"

Vaata kui palju on seda faili avatud kokku, selleks käivita käsk: lsof -p 17437 | grep "/etc/xroad/conf.d" | wc -l

Selgita välja, mis failidega on probleem

18. FAILED SelectChannelConnector@0.0.0.0:80: java.net.BindException: Address already in use Porte kasutavad mitte turvaserveri rakendused.
Portide kasutuse vaatamiseks käivita turvaserveri käsureal järgmine käsk: netstat -nap | egrep ':80|:443|:5500'
või
vaata võrguühenduste tabelit käsuga: netstat -nap

19. Server.ServerProxy.LoggingFailed.DatabaseError: Error accessing database (messagelog) Tõrked turvaserveri andmebaasiga (Server.ServerProxy viitab tenusepakkuja turvaserveri veale)

Alusta logide uurimisega /var/log/postgresql/ /var/log/xroad/proxy.log
20. Signer.FailedToGeneratePrivateKey.InternalError: CKR_FUNCTION_FAILED Tõenäoliselt ei ole xroad kasutaja listud nfast gruppi. Käivita turvaserveri käsureal järgmine käsk: usermod -a -G nfast xroad

21. Server.ServerProxy.CannotCreateSignature.
Signer.CannotSign.InternalError:  CKR_USER_NOT_LOGGED_IN
Turvaserver ei saa HSM partitsiooniga ühendust.
Veendu, kas probleem on Sinu turvaserveris, selleks käivita turvaserveri käsureal järgmine käsk:
egrep "CKR_USER_NOT_LOGGED_IN" /var/log/xroad/signer.log
Kui veateated eksisteerivad, siis seisneb probleem selles turvaserveris.
1) Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active"

Turvaserveri haldusliideses peab Token ja selle all olev Key rida olema valgel taustal.

Käivita turvaserveri käsureal järgmine käsk:
sudo -u xroad -i signer-console  list-certs

2) Käivita turvaserveri käsureal järgmine käsk: sudo service xroad-signer stop service xroad-signer start

22. Failed to register certificate: ConnectException:Connection refused (Connection refused) Tõenäoliselt ei ole turvaserverile avatud kõik vajalikud pordid. Avatud peavad olema:
* väljuvate ühenduste pordid (turvaserverist välisvõrku):
TCP 5500, 5577, 4001, 4000, 80,443

* sisenevate ühenduste pordid (välisvõrgust turvaserverini):
TCP 5500, 5577

23. Client 'SUBSYSTEM:ee-dev/GOV/1111111/subsystem-name' not found







a) Tarbija turvaserveri puhul - võimalik, et päring tehakse vale turvaserveri või x-tee instantsi (ee-dev, ee-test, EE) pihta ehk kuhu pole registreeritud alamsüsteemi SUBSYSTEM mille pihta päring tehakse.

b) Teenuse pakkuja turvaserveri puhul ei ole seadistatud korrektselt veebiteenuse URLi.
Turvaserveris "subsystem-name" -"Services" - "teenusenimi" - "EDIT" - "Service URL"

a) Kontrollida päringu sisu, et tarbija ja teenuse pakkuja x-tee instants oleks sama (ee-dev'ist ei saa saata päringut ee-test'i) ning alamsüsteem oleks olemas ja registreeritud.

b) Kontrollida veebiteenuse URL'i. Turvaserveris: "subsystem-name" -"Services" - "teenusenimi" - "EDIT" - "Service URL".
24. Server.ClientProxy.SslAuthenticationFailed.InternalError
connect timed out
Võimalik et päringu esitanud kliendi tulemüüris on pordid kinni.

Avatud peavad olema:
* väljuvate ühenduste pordid (turvaserverist välisvõrku):
TCP 5500, 5577, 4001, 4000, 80,443

* sisenevate ühenduste pordid (välisvõrgust turvaserverini):
TCP 5500, 5577

25. Response from server proxy is not consistent with request
Response headers are not consistent with the request headers
Field 'issue' does not match in request and response
connect timed out


Päringu esitaja sõnumi päises olev mingi element (antud näites "issue") on tühi või päringu vastuses olevad päise elemendid erinevad päringu esitaja omast.

X-tee sõnumiprotokoll v4 ütleb ,et teenusepakkuja peab päise muutmata kujul vastuses tagastama.
26. Server.ClientProxy.SslAuthenticationFailed:
Client (...) specifies HTTPS but did not supply TLS certificate
Alates turvaserveri tarkvara versioonist 6.9.5, kasutatakse turvaserveri omaniku (MEMBER) alt käivitatud metateenuse puhul vaikimisi HTTPS ühendust.
Juhul, kui teie infosüsteemi TLS sertifikaat ei ole registreeritud turvaserveris kuvatakse veateate


Lahendus on kirjeldatud turvaserveri kasutusjuhendis:
"9 Communication with the Client Information Systems"
 https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems
RIA ei soovita HTTP ühendust turvakaalutlustel kasutada.

27. Server.ServerProxy.MissingSignature: Request does not have signature Transpordiprotokollis kirjeldatud käitumine. Turvaserver kiiruse eesmärgil edastab sõnumi koheselt ja üritab sõnumi lõppu e-Templi panna. Juhul kui sõnumi edastaja turvaserveril tekkib mingi tõrge nt kettamaht saab täis, jääb sõnum poolikuks (e-Templita). Ilma e-Templita sõnumit vastuvõttev turvaserver ignoreerib seda sõnumit tekitades sellekohast veateadet proxy.log-is

Turvaserveri normaal tööoleku taastamine

https://github.com/ria-ee/X-Road/blob/develop/doc/Protocols/pr-messtransp_x-road_message_transport_protocol_2.2_Y-743-4.docx
28. Server.ServerProxy.ServiceFailed.IOError
Received fatal alert: certificate_unknown
ebakorrektne klient-server TLS seadistus infosüstemi ja turvaserver vahel

Klient-server TLS kommuniktsiooni seadistuse korrastamine


Kõik mis turvaserveri TLS seadistustus puudutab on kirjas X-tee kasutusjuhendis (nii kliendi "service consumer" kui ka serveri "service provider" rollis).
https://github.com/ria-ee/X-Road-EE-docs/blob/master/md/ug-ss_x-road_6_security_server_user_guide.md#9-communication-with-the-client-information-systems

29. MISP2:
XROAD_SOAP_RESPONSE_FAULT: X-Road SOAP response contained Fault
Server.ClientProxy.UnknownMember Client 'SUBSYSTEM:ee/GOV/70006317/subsystemname' not found"

MISPi konfiguratsioni failis on toodangukeskkonna instantsi väärtus väikeste tähtedega 'ee', aga peab olema 'EE'.
Probleem esineb ainult siis kui MISP tarkvara uuendatakse, sest uuendamise ei kirjutada konfiguratsiooni faili üle.


Veenduge, et MISP konfiguratsioonifailis /var/lib/tomcat7/webapps/misp2/WEB-INF/classes/config.cfg oleks xroad_instances="ee-dev,ee-test,EE".
30. Name in certificate does not match name in message
Usaldusteenusepakkkuja (SK ID Solution) on väljastanud e-Templi sertifikaati milles "Subject: 2.5.4.97 =" väärtus ebakorrektne ning ei ühti X-tee liikmeklassi koodiga (MemberCode)

Paluda uut sertifikaati usalduteenuse pakkujalt.
Alates turvaserveri v 6.16.0-0.20171128173309 
Vastavused "Subject: 2.5.4.97 =" ja "MemberCode"
GO:EE = GOV – Eesti riigi ja Eesti kohalike omavalitsuste asutused
NP:EE = NGO – Eesti sihtasutused ja mittetulundusühingud
NTREE = COM – Eesti erasektori asutused
NTRxx = NEE – Väilisriikide asutused
31. HSM partitsiooni pole võimalik pärast versioonile 6.9.5 upgrade'i sisse logida / Tokenid "Keys & Certificates" vaates on hallid, LOGIN nupp on inaktiivne.







1. Probleemi juurpõhjus on HSM klastrite (token_id_format parameetri) juures tehtud tööd, mis parandas slotIndex määramisel tehtud ammuse vea.
1. Täpsemalt kirjas siin: https://x-tee.ee/packages/scripts/slotindex_fix.txt

2. Mõndade HSMide puhul (nt. Thales ) on aidanud üks a) või b) variantidest:

a) – Keyconfi muutmine/mudimine –
1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml
2) Vaadake proxy-console'i: sudo -u xroad -i signer-console lk et mis tokenid all võtmed paistavad.
3) Tehke signer'ile stop: sudo service xroad-signer stop.
4) Keyconf'is muutke id selleks, mis signer-console ütles.
5) Tehke signer'ile start: sudo service xroad-signer start.
6) Vaadake, kas lahendas mure.

b) – Keyconfi kustutamine ja uuesti tekitamine –
1) Palun kindlasti tehke varukoopia keyconf.xml'ist: /etc/xroad/signer/keyconf.xml ning otsige serdid või parsige keyconfi'i.
2) Tehke signer'ile stop: sudo service xroad-signer stop.
3) Kustutage keyconf (Sellepärast ongi oluline, et tegite varukoopia).
4) Tehke signer'ile start: sudo service xroad-signer start.
5) Importige serdid uuesti.
6) Vaadake, kas lahendas mure


32. Request is not allowed: SERVICE: ... Teenus mille pihta päringut tehakse ei ole alamsüsteemile avatud. Võtke ühendust teenuse omanikuga ning paluge neilt teenuse ligipääsu võimaldamist Teie alamsüsteemile.
33.  HTTP error: 403 - Forbidden Turvaserverile ei ole ajatempliteenust avatud ehk kas puudub leping või ei ole teenusepakkuja lubanud Teie turvaserveri IP-d ehk puudub teenusele ligipääs.
https://www.sk.ee/teenused/ajatempliteenus/tehniline-lisainfo/
Palun võtke ühendust SK ID Solutions AS-ga ning paluge neil üle kontrollida Teie turvaserveri ajatempliteenuse ligipääs ja ühendused.


OpMonitori andmete küsimisel saadud veateated



32. Server.ClientProxy.NetworkError: Could not connect to any target host ([https://IP:5500/])

Kontrolli, et veateates oleva IP-ga turvaserver aktsepteeriks päringuid pordile 5500 ja 5577. Sisenevale liiklusele peavad olema avatud tulemüüris TCP pordid 5500 ja 5577 järgnevatele RIA IP-dele vastavalt keskkonnale:

  • ee-dev - 195.80.123.169
  • ee-test - 195.80.123.164
  • EE - 195.80.123.159
Kui antud turvaserver pole enam reaalselt kasutusel, siis palun saatke kiri help@ria.eepeale infoga asutuse registrikoodist ja turvaserveri nimest, mille võime kustutada.


33. Server. ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: java.lang.IllegalArgumentException: one of either dataSource or dataSourceClassName must be specified

Veendu, et andmebaasiga on ühendus: " psql -U messagelog -W -h 127.0.0.1" . Andmebaasi kasutaja messagelog parooli saab vaadata /etc/xroad/db.properties failist.


34. Server.ServerProxy.OpMonitor.InternalError: Could not initialize class ee.ria.xroad.opmonitordaemon.OperationalDataRequestHandler

Uuenda turvaserver uuema tarkvara peale.apt dist upgrade apt install xroad-security-server-ee Alates versioonist 6.18.0 on antud viga parandatud.


35. Server.ServerProxy.OpMonitor.InternalError: Failed to get records for response: DatabaseError: Error accessing database (op-monitor)

Turvaserver ei saa sisemise andmebaasiga ühendust (nt andmebaasi kasutaja parool on vale). Võimalik seletus võib peituda andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. Võib proovida ka restartida teenust: "sudo service xroad-opmonitor restart" ja "sudo service postgresql restart"


36. Server.ServerProxy.ServiceFailed.NetworkError: Connect to localhost:2080 [localhost/127.0.0.1] failed: Connection refused (Connection refused)  

Xroad-monitor teenus on paigaldamata või teenus ei tööta. Paigaldamise käsk "sudo apt-get install xroad-monitor". Võimalik seletus (nt andmebaasi kasutaja parool on vale) võib peituda ka andmebaasi ja turvaserveri logis: /var/log/postgresql/ ja /var/log/xroad/proxy.log. Võib proovida ka restartida teenust: "sudo service xroad-opmonitor restart"


37. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member: Signer.UnknownMember: Could not find any certificates for member

Kontrolli, et turvaserveri haldusliidese menüüs „Management“ -> „Keys and Certificates“ lehel olev Token ja selle all olev Key read on valgel taustal.

Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsureal järgmine käsk: "sudo -u xroad -i signer-console  list-certs"


38. Server.ServerProxy.ServiceFailed.CannotCreateSignature: Failed to get signing info for member  HttpError: Connection to Signer (port 5558) timed out

Restart teenusele. Selleks käivita turvaserveri käsureal käsk: "sudo service xroad-signer restart".

Kontrolli, et turvaserveri haldusliidese menüüs „Management“ -> „Keys and Certificates“ lehel olev Token ja selle all olev Key read on valgel taustal.

Veendu, et HSM või selle slotid, kus asuvad võtmed, millega allkirjastatakse päringuid on staatuses "OK, writable, available, active". Selleks käivita turvaserveri käsureal järgmine käsk: "sudo -u xroad -i signer-console  list-certs"


39. Server.ServerProxy.ServiceFailed.InvalidSecurityServer: Invalid security server identifier 

Uue turvaserveri paigaldamisel peab turvaserveri enda kood (tähis) olema unikaalne kõigi asutusele kuuluvate (ka varem kuulunud) turvaserveri koodide (tähiste) hulgas. Tegemist on asutuse sees oleva unikaalse turvaserveri indentifikaatoriga.

40. Server.ClientProxy.SslAuthenticationFailed: Service provider did not send correct authentication certificate

Turvaserveris on AUTH seritfikaat DISABLED või Softtokeni PIN on sisestamata. Turvaserveri haldusliideses tuleb menüüs „Management“ valida „Keys and Certificates“. Veendu, et AUTH sertifikaat on staatuses ACTIVE ega Softtoken küsi PIN-i.


41. Server.ClientProxy.SslAuthenticationFailed.InternalError: Could not find OCSP response for certificate

Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga "apt list --upgradable". Soovitame uuendada xroad-* teenused kõige uuema seisuni. Uuenduste puudmisel restart teenusele "sudo service xroad-signer restart". 

Logi kontroll: /var/log/xroad/configuration_client.log ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku juhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta.

 

42. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages: no timestamping services configured

Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud.

43. Server.ServerProxy.LoggingFailed.InternalError: Ask timed out on [Actor[akka://Proxy/user/LogManager#2110275378]] after [40000 ms]. Sender[null] sent message of type "ee.ria.xroad.common.messagelog.LogMessage".

Veendu, et turvaserver pole ülekoormatud või kõvaketta maht pole täis saanud. Võid proovida ka masina restarti.


44. Server.ServerProxy.LoggingFailed.InternalError: Futures timed out after [40 seconds]

Veendu, et turvaserver pole ülekoormatud.


45. Server.ServerProxy.LoggingFailed.TimestamperFailed: Cannot time-stamp messages

Veendu, et turvaserveris on menüüs „Configuration“ -> „System Parameters“ lehel „Timestamping Services“ täidetud. Turvaserveri menüüs "Management" -> "Diagnostics" lehel Timestamping lahtris peab Message olek sisaldama teadet "Connection ok".  Võib aidata teenuse taaskäivitus: "sudo service xroad-proxy restart".

Soovitav on uurida ka logisid ajatembeldamis vigade kohta logifailist /var/lib/proxy.log. Võib juhtuda ka, et ajatembeldamisteenust pakkuv osapool on teie turvaserveri ip aadressi jätnud lisamata lubatud aadressite hulka.


46. Server.ServerProxy.UnknownService: Unknown service: SERVICE:EE/…/getSecurityServerOperationalData

Kontrollige uuenduste saadavust xroad-* programmide jaoks käsuga "apt list --upgradable". Monitooringu paketi puudumisel paigaldage teenus käsuga "sudo apt-get install xroad-monitor"


47. Server.ServerProxy.CannotCreateSignature.Signer.TokenNotAvailable: Token  not available

Veendu, et turvaserveri haldusliideses menüüs „Management“ -> „Keys and Certificates“ on Token ja selle all olev Key rida valgel taustal.

Vajadusel tuleb token ja või võtmed uuesti genereerida vastavalt turvaserveri kasutusjuhendile


48. Server.ServerProxy.OutdatedGlobalConf: Global configuration is expired

Variandid, et kas sel hetkel ei saadud keskserveriga ühendust või ei saadud allaletud faili Ubuntu failisüsteemi turvaserveris edukalt salvestatud.

Veendu, et turvaserveri ketas pole täis: kontrolli logisid /var/log/xroad/configuration_client.log failis, et ega mingeid vigu ei hakka silma vea ilmnemise ajahetke ümber. Logis peab korras oleku puhul olema iga minut korduvad ühesugused read eduka allalaadimise kohta. Võib proovida ka teenuse taaskäivitamist käsuga "sudo service xroad-signer restart"


49. Turvaserveri logisse ei teki uuemaid proxy.log kandeid

Juhul kui turvaserveri versioon on 6.18.0-1 või uuem, siis on tõenäoliselt põhjuseks logbacki klassi XRoadSizeBasedRollingPolicy eemaldamine turvaserverist ning vastav seadistusfail on jäänud uuenduse käigus üle kirjutamata.

Sellisel juhul ava turvaserveris /etc/xroad/conf.d/proxy-logback.xml fail ja asenda järgnevad read:

 <rollingPolicy class="ee.ria.xroad.common.XRoadSizeBasedRollingPolicy">
            <fileNamePattern>${logOutputPath}/proxy.%i.log.zip</fileNamePattern>
        </rollingPolicy>
        <triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
            <maxFileSize>100MB</maxFileSize>
        </triggeringPolicy>

järgnevate ridadega:

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
            <fileNamePattern>${logOutputPath}/proxy.%d{yyyy-MM-dd}.%i.log.zip</fileNamePattern>
            <maxFileSize>100MB</maxFileSize>
        </rollingPolicy>


50. X-tee turvaserveri tarkvara uuendamine 6.16 pealt 6.18.0 versioonile.

Repositooriumi vahetamise ja turvaserveri tarkvara uuendamise õige järjekord:
  1. Muuda APT source listi: /etc/apt/sources.list.d/xroad.list
           Lisa xroad.list-i uus allikas: deb http://x-tee.ee/packages/live/xroad trusty main
           Eemalda read, mis sisaldavad http://x-road.eu/ allikat.
  2. Jõusta tehtud muudatused: sudo apt-get update
  3. Uuendada esmalt PostgreSQL: sudo apt-get install postgresql-9.3 --only-upgrade
       (PostgreSQL v9.4 kasutajad kasutavad „postgresql-9.4“ käsu lõpus)
  4. Paigalda uuem tarkvara: sudo apt-get install xroad-securityserver-ee
  5. Soovitav on uuendada ka ülejäänud tarkvara: sudo apt-get dist-upgrade


51. soap:Server: The given SOAPAction ... does not match an operation. 
Client.InvalidSoapAction: Malformed SOAPAction header

Alates 6.18.0 X-tee versioonist kontrollib ja edastab turvaserver rakenduse poolt talle edastatud HTTP päringu päises olevat SOAPAction välja edasi teise osapoole turvaserverile. Varasemates versioonides eemaldati SOAPAction väli enne edastamist HTTP päisest. Seega nüüd on oluline antud väli korrektselt kirjeldada vastavalt standardile punkt 6.1.1
Juhime tähelepanu, et SOAPAction välja väärtus on kas tühi või ümbritsetud jutumärkidega.
Kui üle X-tee päritava teenuse rakendus ei nõua SOAPAction välja, siis lihtsam lahendus on eemaldada enda päringut tegevas rakenduses üldse HTTP POST päringu päisest SOAPAction väli. Varuvariandina võib ka kaaluda turvaserveri uuendamiseelse seisu taastamist varukoopiast.



Lisaks võivad mõned vead ja lahendused olla raporteeritud ühisarenduse keskkonnas: 
https://github.com/vrk-kpa/xroad-joint-development/issues?q=is%3Aissue+is%3Aopen+label%3Abug


Parandusettepanekute ja vearaportitega palun pöörduge help@ria.ee

Last modified: Thursday, 21 March 2019, 9:38 AM