Arquitetura SEI - Órgãos implantados
-
15 de Setembro de 2017 às 22:42Boa noite.
Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
(HAProxy por exemplo) na frente do servidor como balanceador? E desses quem
já conseguiu assinar digitalmente documentos usando token USB.
Na UFF nossa arquitetura está assim:
Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)
E estamos com problema para assinar digitalmente com o token usb. Fizemos
um teste sem o balancer e funcionou.
--
Atenciosamente
*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com -
16 de Setembro de 2017 às 00:57Conforme consta destacado no Manual de Instalação, tem que criar uma segunda rota paralela http.
Tem que ter as duas rotas funcionando em paralelo.
Em 15 de set de 2017 19:43, Leandro De CiccoPrezados participantes, quem de vocês utiliza o SEI com um proxy reverso (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem já conseguiu assinar digitalmente documentos usando token USB.E estamos com problema para assinar digitalmente com o token usb. Fizemos um teste sem o balancer e funcionou.
--leandrocicco@gmail.com -
16 de Setembro de 2017 às 01:31Boa noite, Nei.
Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala da
configuração do HTTPS no servidor SEI, após a instalação de certificados.
Não instalamos certificados SSL nos servidores SEI, e nossa configuração
consta como HTTP.
Conforme meu email anterior, o problema está na hora de assinar
digitalmente com o token USB, e não problema de "loop infinito" como consta
no manual. Esse problema parece ser no applet que examinando o log,
apresenta várias exceções java quando da erro.
2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro <
neijobson@anatel.gov.br>: -
16 de Setembro de 2017 às 02:53Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre usuários e balanceador. Mas é aí mesmo que tem que ter a rota paralela HTTP também.
Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o applet.
Em 15 de set de 2017 22:32, Leandro De CiccoQual parte do manual de instalação fala isso? Na página 23 e na 24 fala da configuração do HTTPS no servidor SEI, após a instalação de certificados. Não instalamos certificados SSL nos servidores SEI, e nossa configuração consta como HTTP.
Conforme meu email anterior, o problema está na hora de assinar digitalmente com o token USB, e não problema de "loop infinito" como consta no manual. Esse problema parece ser no applet que examinando o log, apresenta várias exceções java quando da erro.
2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa CarneiroEm 15 de set de 2017 19:43, Leandro De Cicco -
16 de Setembro de 2017 às 12:47Bom dia, Nei.
Mas em que parte do manual de instalação fala isso? Sobre a necessidade de
uma rota paralela http?
E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
usarem o sistema por essa rota, já que geralmente é o próprio servidor que
redireciona as requisições http para https. Isso faria com que o https
perdesse meio o sentido, não?
Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro <
neijobson@anatel.gov.br> escreveu: -
16 de Setembro de 2017 às 13:23Leandro,
Procure pelo termo balanceador e HTTPS e vai achar no Manual de Instalação.
Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o Manual indica for incluído o HTTPS. O login é redirecionado, etc.
Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota paralela HTTP que o Manual indica ser necessária.
Em 16 de set de 2017 09:48, Leandro De CiccoMas em que parte do manual de instalação fala isso? Sobre a necessidade de uma rota paralela http?
E ainda, se deixarmos uma rota http liberada, há a chance dos usuários usarem o sistema por essa rota, já que geralmente é o próprio servidor que redireciona as requisições http para https. Isso faria com que o https perdesse meio o sentido, não?
Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa CarneiroEm 15 de set de 2017 22:32, Leandro De Cicco -
17 de Setembro de 2017 às 21:52Prezado Nei,
Tenho exatamente o mesmo problema que o Leandro informou no Tribunal de
Justiça do ES . Pode explicar exatamente o que seria esta rota paralela?
Seria no meu caso, além de configurar no balanceador
https://sistemas.tjes.jus.br/sei (porta 443) o
http://sistemas.tjes.jus.br/sei (porta 80) ?
Não podemos afirmar neste momento que não existe um BUG no SEI nesta
parte de assinar com token desta forma com tal de rota paralela.
Tenho exatamente está mesma configuração que o Leandro citou configurado
para PJE (Processo Judicial Eletronico do Judiciário) e Malote Digital (
utilizado também por todos os Tribunais de Justiça do país) e assinatura
por token digital funciona sem problema e sem a necessidade de rota
paralela.
Desde já agradeço,
Roney dos Santos
Roney dos Santos
Tribunal de Justiça do Espírito Santo - TJES
Secretaria de Tecnologia da InformaçãoEm 16 de set de 2017 09:48, Leandro De Cicco escreveu:Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro >Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu: -
20 de Setembro de 2017 às 21:47Roney.
Aqui na UFF tentamos de várias formas. Na nossa arquitetura, abaixo, não
funcionou:
Navegador <------ https ------> HAProxy (com certificado SSL:
*homologacao.sti.uff.br
*, IP publico) <------ http ------> Nó de
App SEI (sem certificado SSL: *homologacao.sti.uff.br/sei
*, IP privado)
Tentamos várias coisas:
1. Colocar https = true e demais configs sem certificado SSL na máquina
do nó SEI;
2. Instalar um certificado SSL na máquina do SEI e manter o certificado
SSL para as requisições via HAProxy para o SEI;
3. Instalar o certificado SSL na máquina do SEI e repassar as
requisições HTTP via HAProxy quando requisições para o SEI;
Nenhum deles funcionou. Acredito que devido à nossa forma de usar o HAProxy
que tem IP público e as aplicações ficam em IPs privados. Quando chega uma
requisição homologacao.sti.uff.br/sei, o HAProxy a recebe e redireciona
para o nó SEI. Quando tentamos fazer a solução 3, tivemos erro de
Forbidden/permissão de acesso à pastas (sip/login por exemplo).
O que fizemos e funcionou foi tirar o nó SEI de trás do HAProxy, colocando
ele em um IP público e instalando certificados SSL globalSign/ICPEdu tanto
no SEI quanto no SIP. Nosso balenceamento será feito pelo nosso Firewall de
borda, quando adicionarmos mais nós:
Navegador <------ https ------> Nó de App SEI (com certificado SSL:
homologacao.sti.uff.br, IP público)
2017-09-17 18:52 GMT-03:00 RONEY SANTOS -
21 de Setembro de 2017 às 12:59Aqui nós estamos na v2.6, com apenas um servidor SIP/SEI. Para migrarmos para a v3.0, estamos preparando os servidores para termos balanceador e clusters.
Mas eu tô vendo essas mensagens e ficando preocupado. Quem migrou para a 3.0 e possui balanceador e clusters, está com tudo funcionando em produção?
Para quem já tem a v3.0 funcionando, a solução de balanceamento seria a indicada no manual (apache com mod_proxy_balancer)?
Outra dúvida:
O manual diz o seguinte sobre https e balanceamento:
“Se utilizando uma arquitetura com balanceador e nós então é necessário criar uma configuração separada no balanceador para HTTPS. Caso contrário, a comunicação entre o cliente e o balanceador será HTTPS, mas entre o balanceador e os nós será HTTP. Com isso o sistema não conseguirá identificar que a comunicação com o cliente já utiliza HTTPS e tentará redirecionar provocando um “loop infinito”.”
O que quer dizer essa configuração separada?
Atenciosamente,
Douglas Fiório Dias
De: sei-tecnico [mailto:sei-tecnico-bounces@listas.softwarepublico.gov.br] Em nome de Leandro De Cicco
Enviada em: quarta-feira, 20 de setembro de 2017 18:47
Para: RONEY SANTOS
Cc: Sei tecnico
Assunto: [GRAYMAIL] Re: [sei-tecnico] Arquitetura SEI - Órgãos implantadosAqui na UFF tentamos de várias formas. Na nossa arquitetura, abaixo, não funcionou:
Navegador <------ https ------> HAProxy (com certificado SSL: homologacao.sti.uff.br, IP publico) <------ http ------> Nó de App SEI (sem certificado SSL: homologacao.sti.uff.br/sei, IP privado)1. Colocar https = true e demais configs sem certificado SSL na máquina do nó SEI;
2. Instalar um certificado SSL na máquina do SEI e manter o certificado SSL para as requisições via HAProxy para o SEI;
3. Instalar o certificado SSL na máquina do SEI e repassar as requisições HTTP via HAProxy quando requisições para o SEI;
Nenhum deles funcionou. Acredito que devido à nossa forma de usar o HAProxy que tem IP público e as aplicações ficam em IPs privados. Quando chega uma requisição homologacao.sti.uff.br/sei, o HAProxy a recebe e redireciona para o nó SEI. Quando tentamos fazer a solução 3, tivemos erro de Forbidden/permissão de acesso à pastas (sip/login por exemplo).
O que fizemos e funcionou foi tirar o nó SEI de trás do HAProxy, colocando ele em um IP público e instalando certificados SSL globalSign/ICPEdu tanto no SEI quanto no SIP. Nosso balenceamento será feito pelo nosso Firewall de borda, quando adicionarmos mais nós:
Navegador <------ https ------> Nó de App SEI (com certificado SSL: homologacao.sti.uff.br, IP público)
2017-09-17 18:52 GMT-03:00 RONEY SANTOS -
21 de Setembro de 2017 às 13:472017-09-21 9:56 GMT-03:00 Douglas Fiório DiasTambém gostaria de saber o que isso significa. Já vi outras pessoas
perguntarem aqui, sem sucesso. -
10 de Janeiro de 2018 às 17:38Pessoal, aqui na ATI - PE , habilitarmos o https em cluster pelo HAPROXY, usando o Let's Encrypt. A cadeia é reconhecida pelos navegadores. Existe alguns ajustes que devem ser feitos no haproxy.conf, e nas chaves disponibilizadas. Um exelente tutorial que pode ajudar a colocar o Lets Encrypt no HAPROXY (https://www.digitalocean.com/community/tutorials/how-to-implement-ssl-termination-with-haproxy-on-ubuntu-14-04).
Tivemos alguns problemas de funcionalidade do https no HAPROXY, e foi importante colocar no Backend a seguinte entrada:
...
cookie JSESSIONID prefix nocache
..
Vejam se resolve o problema. -
10 de Janeiro de 2018 às 17:47
-
10 de Janeiro de 2018 às 18:08
Leandro De Cicco
Nei Jobson da Costa Carneiro
Roney Santos
Douglas Dias
Alberto Viegas