Software Público Brasileiro

Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
(HAProxy por exemplo) na frente do servidor como balanceador? E desses quem
já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb. Fizemos
um teste sem o balancer e funcionou.



--
Atenciosamente

*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com *

Conforme consta destacado no Manual de Instalação, tem que criar uma segunda rota paralela http.

Tem que ter as duas rotas funcionando em paralelo.


Em 15 de set de 2017 19:43, Leandro De Cicco escreveu:

Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb. Fizemos um teste sem o balancer e funcionou.



--

Atenciosamente

Leandro Ribeiro De Cicco

leandrocicco@gmail.com

Boa noite, Nei.

Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala da
configuração do HTTPS no servidor SEI, após a instalação de certificados.
Não instalamos certificados SSL nos servidores SEI, e nossa configuração
consta como HTTP.

Conforme meu email anterior, o problema está na hora de assinar
digitalmente com o token USB, e não problema de "loop infinito" como consta
no manual. Esse problema parece ser no applet que examinando o log,
apresenta várias exceções java quando da erro.

2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro <
neijobson@anatel.gov.br>:

> Conforme consta destacado no Manual de Instalação, tem que criar uma
> segunda rota paralela http.
>
> Tem que ter as duas rotas funcionando em paralelo.
>
>
> Em 15 de set de 2017 19:43, Leandro De Cicco
> escreveu:
>
> Boa noite.
>
> Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
> (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem
> já conseguiu assinar digitalmente documentos usando token USB.
>
> Na UFF nossa arquitetura está assim:
>
> Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)
>
> E estamos com problema para assinar digitalmente com o token usb. Fizemos
> um teste sem o balancer e funcionou.
>
>
>
> --
> Atenciosamente
>
> *Leandro Ribeiro De Cicco*
> * leandrocicco@gmail.com *
>
>
>


--
Atenciosamente

*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com *

Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre usuários e balanceador. Mas é aí mesmo que tem que ter a rota paralela HTTP também.

Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o applet.


Em 15 de set de 2017 22:32, Leandro De Cicco escreveu:

Boa noite, Nei.

Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala da configuração do HTTPS no servidor SEI, após a instalação de certificados. Não instalamos certificados SSL nos servidores SEI, e nossa configuração consta como HTTP.

Conforme meu email anterior, o problema está na hora de assinar digitalmente com o token USB, e não problema de "loop infinito" como consta no manual. Esse problema parece ser no applet que examinando o log, apresenta várias exceções java quando da erro.

2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:

Conforme consta destacado no Manual de Instalação, tem que criar uma segunda rota paralela http.

Tem que ter as duas rotas funcionando em paralelo.

Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:

Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb. Fizemos um teste sem o balancer e funcionou.



--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com




--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

Bom dia, Nei.

Mas em que parte do manual de instalação fala isso? Sobre a necessidade de
uma rota paralela http?

E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
usarem o sistema por essa rota, já que geralmente é o próprio servidor que
redireciona as requisições http para https. Isso faria com que o https
perdesse meio o sentido, não?

Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro <
neijobson@anatel.gov.br> escreveu:

> Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre
> usuários e balanceador. Mas é aí mesmo que tem que ter a rota paralela HTTP
> também.
>
> Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o
> applet.
>
>
> Em 15 de set de 2017 22:32, Leandro De Cicco
> escreveu:
>
> Boa noite, Nei.
>
> Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala da
> configuração do HTTPS no servidor SEI, após a instalação de certificados.
> Não instalamos certificados SSL nos servidores SEI, e nossa configuração
> consta como HTTP.
>
> Conforme meu email anterior, o problema está na hora de assinar
> digitalmente com o token USB, e não problema de "loop infinito" como consta
> no manual. Esse problema parece ser no applet que examinando o log,
> apresenta várias exceções java quando da erro.
>
> 2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro <
> neijobson@anatel.gov.br>:
>
> Conforme consta destacado no Manual de Instalação, tem que criar uma
> segunda rota paralela http.
>
> Tem que ter as duas rotas funcionando em paralelo.
>
>
> Em 15 de set de 2017 19:43, Leandro De Cicco
> escreveu:
>
> Boa noite.
>
> Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
> (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem
> já conseguiu assinar digitalmente documentos usando token USB.
>
> Na UFF nossa arquitetura está assim:
>
> Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)
>
> E estamos com problema para assinar digitalmente com o token usb. Fizemos
> um teste sem o balancer e funcionou.
>
>
>
> --
> Atenciosamente
>
> *Leandro Ribeiro De Cicco*
> * leandrocicco@gmail.com *
>
>
>
>
>
> --
> Atenciosamente
>
> *Leandro Ribeiro De Cicco*
> * leandrocicco@gmail.com *
>
>
> --
Atenciosamente

*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com *

Leandro,

Procure pelo termo balanceador e HTTPS e vai achar no Manual de Instalação.

Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o Manual indica for incluído o HTTPS. O login é redirecionado, etc.

Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota paralela HTTP que o Manual indica ser necessária.


Em 16 de set de 2017 09:48, Leandro De Cicco escreveu:

Bom dia, Nei.

Mas em que parte do manual de instalação fala isso? Sobre a necessidade de uma rota paralela http?

E ainda, se deixarmos uma rota http liberada, há a chance dos usuários usarem o sistema por essa rota, já que geralmente é o próprio servidor que redireciona as requisições http para https. Isso faria com que o https perdesse meio o sentido, não?

Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro > escreveu:

Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre usuários e balanceador. Mas é aí mesmo que tem que ter a rota paralela HTTP também.

Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o applet.

Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:

Boa noite, Nei.

Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala da configuração do HTTPS no servidor SEI, após a instalação de certificados. Não instalamos certificados SSL nos servidores SEI, e nossa configuração consta como HTTP.

Conforme meu email anterior, o problema está na hora de assinar digitalmente com o token USB, e não problema de "loop infinito" como consta no manual. Esse problema parece ser no applet que examinando o log, apresenta várias exceções java quando da erro.

2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:
Conforme consta destacado no Manual de Instalação, tem que criar uma segunda rota paralela http.

Tem que ter as duas rotas funcionando em paralelo.


Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:
Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso (HAProxy por exemplo) na frente do servidor como balanceador? E desses quem já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb. Fizemos um teste sem o balancer e funcionou.



--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com




--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

Prezado Nei,


Tenho exatamente o mesmo problema que o Leandro informou no Tribunal de
Justiça do ES . Pode explicar exatamente o que seria esta rota paralela?
Seria no meu caso, além de configurar no balanceador
https://sistemas.tjes.jus.br/sei (porta 443) o
http://sistemas.tjes.jus.br/sei (porta 80) ?


Não podemos afirmar neste momento que não existe um BUG no SEI nesta
parte de assinar com token desta forma com tal de rota paralela.


Tenho exatamente está mesma configuração que o Leandro citou configurado
para PJE (Processo Judicial Eletronico do Judiciário) e Malote Digital (
utilizado também por todos os Tribunais de Justiça do país) e assinatura
por token digital funciona sem problema e sem a necessidade de rota
paralela.


Desde já agradeço,


Roney dos Santos



Roney dos Santos
Tribunal de Justiça do Espírito Santo - TJES
Secretaria de Tecnologia da Informação

>>> Nei Jobson da Costa Carneiro 16/09/17 10:24 >>>
Leandro,

Procure pelo termo balanceador e HTTPS e vai achar no Manual de
Instalação.

Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o
Manual indica for incluído o HTTPS. O login é redirecionado, etc.

Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de
SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota
paralela HTTP que o Manual indica ser necessária.

Em 16 de set de 2017 09:48, Leandro De Cicco escreveu:

Bom dia, Nei.

Mas em que parte do manual de instalação fala isso? Sobre a necessidade
de uma rota paralela http?

E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
usarem o sistema por essa rota, já que geralmente é o próprio servidor
que redireciona as requisições http para https. Isso faria com que o
https perdesse meio o sentido, não?

Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro >

escreveu:
Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre
usuários e balanceador. Mas é aí mesmo que tem que ter a rota
paralela HTTP também.

Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o
applet.

Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:

Boa noite, Nei.

Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala
da configuração do HTTPS no servidor SEI, após a instalação de
certificados. Não instalamos certificados SSL nos servidores SEI, e
nossa configuração consta como HTTP.

Conforme meu email anterior, o problema está na hora de assinar
digitalmente com o token USB, e não problema de "loop infinito" como
consta no manual. Esse problema parece ser no applet que examinando o
log, apresenta várias exceções java quando da erro.

2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:

Conforme consta destacado no Manual de Instalação, tem que criar uma
segunda rota paralela http.

Tem que ter as duas rotas funcionando em paralelo.

Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:

Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
(HAProxy por exemplo) na frente do servidor como balanceador? E desses
quem já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb.
Fizemos um teste sem o balancer e funcionou.



--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com




--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

Roney.

Aqui na UFF tentamos de várias formas. Na nossa arquitetura, abaixo, não
funcionou:


Navegador <------ https ------> HAProxy (com certificado SSL:
*homologacao.sti.uff.br
*, IP publico) <------ http ------> Nó de
App SEI (sem certificado SSL: *homologacao.sti.uff.br/sei
*, IP privado)

Tentamos várias coisas:

1. Colocar https = true e demais configs sem certificado SSL na máquina
do nó SEI;
2. Instalar um certificado SSL na máquina do SEI e manter o certificado
SSL para as requisições via HAProxy para o SEI;
3. Instalar o certificado SSL na máquina do SEI e repassar as
requisições HTTP via HAProxy quando requisições para o SEI;

Nenhum deles funcionou. Acredito que devido à nossa forma de usar o HAProxy
que tem IP público e as aplicações ficam em IPs privados. Quando chega uma
requisição homologacao.sti.uff.br/sei, o HAProxy a recebe e redireciona
para o nó SEI. Quando tentamos fazer a solução 3, tivemos erro de
Forbidden/permissão de acesso à pastas (sip/login por exemplo).

O que fizemos e funcionou foi tirar o nó SEI de trás do HAProxy, colocando
ele em um IP público e instalando certificados SSL globalSign/ICPEdu tanto
no SEI quanto no SIP. Nosso balenceamento será feito pelo nosso Firewall de
borda, quando adicionarmos mais nós:

Navegador <------ https ------> Nó de App SEI (com certificado SSL:
homologacao.sti.uff.br, IP público)









2017-09-17 18:52 GMT-03:00 RONEY SANTOS :

> Prezado Nei,
>
>
> Tenho exatamente o mesmo problema que o Leandro informou no Tribunal de
> Justiça do ES . Pode explicar exatamente o que seria esta rota paralela?
> Seria no meu caso, além de configurar no balanceador
>https://sistemas.tjes.jus.br/sei (porta 443) o
>http://sistemas.tjes.jus.br/sei (porta 80) ?
>
>
> Não podemos afirmar neste momento que não existe um BUG no SEI nesta
> parte de assinar com token desta forma com tal de rota paralela.
>
>
> Tenho exatamente está mesma configuração que o Leandro citou configurado
> para PJE (Processo Judicial Eletronico do Judiciário) e Malote Digital (
> utilizado também por todos os Tribunais de Justiça do país) e assinatura
> por token digital funciona sem problema e sem a necessidade de rota
> paralela.
>
>
> Desde já agradeço,
>
>
> Roney dos Santos
>
>
>
> Roney dos Santos
> Tribunal de Justiça do Espírito Santo - TJES
> Secretaria de Tecnologia da Informação
>
> >>> Nei Jobson da Costa Carneiro 16/09/17 10:24 >>>
> Leandro,
>
> Procure pelo termo balanceador e HTTPS e vai achar no Manual de
> Instalação.
>
> Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o
> Manual indica for incluído o HTTPS. O login é redirecionado, etc.
>
> Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de
> SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota
> paralela HTTP que o Manual indica ser necessária.
>
>
> Em 16 de set de 2017 09:48, Leandro De Cicco escreveu:
> Bom dia, Nei.
>
> Mas em que parte do manual de instalação fala isso? Sobre a necessidade
> de uma rota paralela http?
>
> E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
> usarem o sistema por essa rota, já que geralmente é o próprio servidor
> que redireciona as requisições http para https. Isso faria com que o
> https perdesse meio o sentido, não?
>
> Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro >
> escreveu:
> Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre
> usuários e balanceador. Mas é aí mesmo que tem que ter a rota
> paralela HTTP também.
>
> Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o
> applet.
>
>
> Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:
> Boa noite, Nei.
>
> Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala
> da configuração do HTTPS no servidor SEI, após a instalação de
> certificados. Não instalamos certificados SSL nos servidores SEI, e
> nossa configuração consta como HTTP.
>
> Conforme meu email anterior, o problema está na hora de assinar
> digitalmente com o token USB, e não problema de "loop infinito" como
> consta no manual. Esse problema parece ser no applet que examinando o
> log, apresenta várias exceções java quando da erro.
>
> 2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:
> Conforme consta destacado no Manual de Instalação, tem que criar uma
> segunda rota paralela http.
>
> Tem que ter as duas rotas funcionando em paralelo.
>
>
> Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:
> Boa noite.
>
> Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
> (HAProxy por exemplo) na frente do servidor como balanceador? E desses
> quem já conseguiu assinar digitalmente documentos usando token USB.
>
> Na UFF nossa arquitetura está assim:
>
> Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)
>
> E estamos com problema para assinar digitalmente com o token usb.
> Fizemos um teste sem o balancer e funcionou.
>
>
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
>
>
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
>
>
>


--
Atenciosamente

*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com *

Aqui nós estamos na v2.6, com apenas um servidor SIP/SEI. Para migrarmos para a v3.0, estamos preparando os servidores para termos balanceador e clusters.

Mas eu tô vendo essas mensagens e ficando preocupado. Quem migrou para a 3.0 e possui balanceador e clusters, está com tudo funcionando em produção?

Para quem já tem a v3.0 funcionando, a solução de balanceamento seria a indicada no manual (apache com mod_proxy_balancer)?

Outra dúvida:
O manual diz o seguinte sobre https e balanceamento:

“Se utilizando uma arquitetura com balanceador e nós então é necessário criar uma configuração separada no balanceador para HTTPS. Caso contrário, a comunicação entre o cliente e o balanceador será HTTPS, mas entre o balanceador e os nós será HTTP. Com isso o sistema não conseguirá identificar que a comunicação com o cliente já utiliza HTTPS e tentará redirecionar provocando um “loop infinito”.”

O que quer dizer essa configuração separada?

Atenciosamente,
Douglas Fiório Dias

De: sei-tecnico [mailto:sei-tecnico-bounces@listas.softwarepublico.gov.br] Em nome de Leandro De Cicco
Enviada em: quarta-feira, 20 de setembro de 2017 18:47
Para: RONEY SANTOS
Cc: Sei tecnico
Assunto: [GRAYMAIL] Re: [sei-tecnico] Arquitetura SEI - Órgãos implantados

Roney.

Aqui na UFF tentamos de várias formas. Na nossa arquitetura, abaixo, não funcionou:

Navegador <------ https ------> HAProxy (com certificado SSL: homologacao.sti.uff.br, IP publico) <------ http ------> Nó de App SEI (sem certificado SSL: homologacao.sti.uff.br/sei, IP privado)

Tentamos várias coisas:

1. Colocar https = true e demais configs sem certificado SSL na máquina do nó SEI;
2. Instalar um certificado SSL na máquina do SEI e manter o certificado SSL para as requisições via HAProxy para o SEI;
3. Instalar o certificado SSL na máquina do SEI e repassar as requisições HTTP via HAProxy quando requisições para o SEI;
Nenhum deles funcionou. Acredito que devido à nossa forma de usar o HAProxy que tem IP público e as aplicações ficam em IPs privados. Quando chega uma requisição homologacao.sti.uff.br/sei, o HAProxy a recebe e redireciona para o nó SEI. Quando tentamos fazer a solução 3, tivemos erro de Forbidden/permissão de acesso à pastas (sip/login por exemplo).

O que fizemos e funcionou foi tirar o nó SEI de trás do HAProxy, colocando ele em um IP público e instalando certificados SSL globalSign/ICPEdu tanto no SEI quanto no SIP. Nosso balenceamento será feito pelo nosso Firewall de borda, quando adicionarmos mais nós:

Navegador <------ https ------> Nó de App SEI (com certificado SSL: homologacao.sti.uff.br, IP público)








2017-09-17 18:52 GMT-03:00 RONEY SANTOS >:

Prezado Nei,


Tenho exatamente o mesmo problema que o Leandro informou no Tribunal de
Justiça do ES . Pode explicar exatamente o que seria esta rota paralela?
Seria no meu caso, além de configurar no balanceador
https://sistemas.tjes.jus.br/sei (porta 443) o
http://sistemas.tjes.jus.br/sei (porta 80) ?


Não podemos afirmar neste momento que não existe um BUG no SEI nesta
parte de assinar com token desta forma com tal de rota paralela.


Tenho exatamente está mesma configuração que o Leandro citou configurado
para PJE (Processo Judicial Eletronico do Judiciário) e Malote Digital (
utilizado também por todos os Tribunais de Justiça do país) e assinatura
por token digital funciona sem problema e sem a necessidade de rota
paralela.


Desde já agradeço,


Roney dos Santos



Roney dos Santos
Tribunal de Justiça do Espírito Santo - TJES
Secretaria de Tecnologia da Informação

>>> Nei Jobson da Costa Carneiro 16/09/17 10:24 >>>
Leandro,

Procure pelo termo balanceador e HTTPS e vai achar no Manual de
Instalação.

Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o
Manual indica for incluído o HTTPS. O login é redirecionado, etc.

Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de
SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota
paralela HTTP que o Manual indica ser necessária.


Em 16 de set de 2017 09:48, Leandro De Cicco escreveu:
Bom dia, Nei.

Mas em que parte do manual de instalação fala isso? Sobre a necessidade
de uma rota paralela http?

E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
usarem o sistema por essa rota, já que geralmente é o próprio servidor
que redireciona as requisições http para https. Isso faria com que o
https perdesse meio o sentido, não?

Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro >
escreveu:
Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre
usuários e balanceador. Mas é aí mesmo que tem que ter a rota
paralela HTTP também.

Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o
applet.


Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:
Boa noite, Nei.

Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala
da configuração do HTTPS no servidor SEI, após a instalação de
certificados. Não instalamos certificados SSL nos servidores SEI, e
nossa configuração consta como HTTP.

Conforme meu email anterior, o problema está na hora de assinar
digitalmente com o token USB, e não problema de "loop infinito" como
consta no manual. Esse problema parece ser no applet que examinando o
log, apresenta várias exceções java quando da erro.

2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:
Conforme consta destacado no Manual de Instalação, tem que criar uma
segunda rota paralela http.

Tem que ter as duas rotas funcionando em paralelo.

Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:
Boa noite.

Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
(HAProxy por exemplo) na frente do servidor como balanceador? E desses
quem já conseguiu assinar digitalmente documentos usando token USB.

Na UFF nossa arquitetura está assim:

Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)

E estamos com problema para assinar digitalmente com o token usb.
Fizemos um teste sem o balancer e funcionou.



--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com




--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com





--
Atenciosamente

Leandro Ribeiro De Cicco
leandrocicco@gmail.com

2017-09-21 9:56 GMT-03:00 Douglas Fiório Dias :

> Aqui nós estamos na v2.6, com apenas um servidor SIP/SEI.
> Para migrarmos para a v3.0, estamos preparando os servidores para termos
> balanceador e clusters.
>
>
>
> Mas eu tô vendo essas mensagens e ficando preocupado. Quem
> migrou para a 3.0 e possui balanceador e clusters, está com tudo
> funcionando em produção?
>
>
>
> Para quem já tem a v3.0 funcionando, a solução de
> balanceamento seria a indicada no manual (apache com mod_proxy_balancer)?
>
>
>
> Outra dúvida:
>
> O manual diz o seguinte sobre https e balanceamento:
>
>
>
> “Se utilizando uma arquitetura com balanceador e nós
> então é *necessário criar uma* *configuração separada no balanceador para
> HTTPS*. Caso contrário, a comunicação entre o cliente e o balanceador
> será HTTPS, mas entre o balanceador e os nós será HTTP. Com isso o sistema
> não conseguirá identificar que a comunicação com o cliente já utiliza HTTPS
> e tentará redirecionar provocando um “loop infinito”.”
>
>
>
> O que quer dizer essa configuração separada?
>

Também gostaria de saber o que isso significa. Já vi outras pessoas
perguntarem aqui, sem sucesso.

>
>
> Atenciosamente,
>
> Douglas Fiório Dias
>
>
>
> *De:* sei-tecnico [mailto:sei-tecnico-bounces@
> listas.softwarepublico.gov.br] *Em nome de *Leandro De Cicco
> *Enviada em:* quarta-feira, 20 de setembro de 2017 18:47
> *Para:* RONEY SANTOS
> *Cc:* Sei tecnico
> *Assunto:* [GRAYMAIL] Re: [sei-tecnico] Arquitetura SEI - Órgãos
> implantados
>
>
>
> Roney.
>
>
>
> Aqui na UFF tentamos de várias formas. Na nossa arquitetura, abaixo, não
> funcionou:
>
>
>
>
> Navegador <------ https ------> HAProxy (com certificado SSL: *homologacao.sti.uff.br
> *, IP publico) <------ http ------> Nó de
> App SEI (sem certificado SSL: *homologacao.sti.uff.br/sei
> *, IP privado)
>
>
>
> Tentamos várias coisas:
>
> 1. Colocar https = true e demais configs sem certificado SSL na
> máquina do nó SEI;
> 2. Instalar um certificado SSL na máquina do SEI e manter o
> certificado SSL para as requisições via HAProxy para o SEI;
> 3. Instalar o certificado SSL na máquina do SEI e repassar as
> requisições HTTP via HAProxy quando requisições para o SEI;
>
> Nenhum deles funcionou. Acredito que devido à nossa forma de usar o
> HAProxy que tem IP público e as aplicações ficam em IPs privados. Quando
> chega uma requisição homologacao.sti.uff.br/sei, o HAProxy a recebe e
> redireciona para o nó SEI. Quando tentamos fazer a solução 3, tivemos erro
> de Forbidden/permissão de acesso à pastas (sip/login por exemplo).
>
>
>
> O que fizemos e funcionou foi tirar o nó SEI de trás do HAProxy, colocando
> ele em um IP público e instalando certificados SSL globalSign/ICPEdu tanto
> no SEI quanto no SIP. Nosso balenceamento será feito pelo nosso Firewall de
> borda, quando adicionarmos mais nós:
>
>
>
> Navegador <------ https ------> Nó de App SEI (com certificado SSL:
> homologacao.sti.uff.br, IP público)
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> 2017-09-17 18:52 GMT-03:00 RONEY SANTOS :
>
> Prezado Nei,
>
>
> Tenho exatamente o mesmo problema que o Leandro informou no Tribunal de
> Justiça do ES . Pode explicar exatamente o que seria esta rota paralela?
> Seria no meu caso, além de configurar no balanceador
>https://sistemas.tjes.jus.br/sei (porta 443) o
>http://sistemas.tjes.jus.br/sei (porta 80) ?
>
>
> Não podemos afirmar neste momento que não existe um BUG no SEI nesta
> parte de assinar com token desta forma com tal de rota paralela.
>
>
> Tenho exatamente está mesma configuração que o Leandro citou configurado
> para PJE (Processo Judicial Eletronico do Judiciário) e Malote Digital (
> utilizado também por todos os Tribunais de Justiça do país) e assinatura
> por token digital funciona sem problema e sem a necessidade de rota
> paralela.
>
>
> Desde já agradeço,
>
>
> Roney dos Santos
>
>
>
> Roney dos Santos
> Tribunal de Justiça do Espírito Santo - TJES
> Secretaria de Tecnologia da Informação
>
> >>> Nei Jobson da Costa Carneiro 16/09/17 10:24 >>>
> Leandro,
>
> Procure pelo termo balanceador e HTTPS e vai achar no Manual de
> Instalação.
>
> Não vai ter acesso dos usuários por HTTPS se em todos os pontos que o
> Manual indica for incluído o HTTPS. O login é redirecionado, etc.
>
> Não tem bug no SEI nesta parte. Erros neste ponto são de configuração de
> SSL nos servidores ou bananceador ou ao forçar 100% o HTTPS, sem a rota
> paralela HTTP que o Manual indica ser necessária.
>
>
> Em 16 de set de 2017 09:48, Leandro De Cicco escreveu:
> Bom dia, Nei.
>
> Mas em que parte do manual de instalação fala isso? Sobre a necessidade
> de uma rota paralela http?
>
> E ainda, se deixarmos uma rota http liberada, há a chance dos usuários
> usarem o sistema por essa rota, já que geralmente é o próprio servidor
> que redireciona as requisições http para https. Isso faria com que o
> https perdesse meio o sentido, não?
>
> Em sex, 15 de set de 2017 às 23:53, Nei Jobson da Costa Carneiro >
> escreveu:
> Observei isso no seu e-mail. Vocês colocaram o HTTPS somente entre
> usuários e balanceador. Mas é aí mesmo que tem que ter a rota
> paralela HTTP também.
>
> Não é pra ter rota apenas HTTPS. A comunicação "interna" entre o SEI é o
> applet.
>
>
> Em 15 de set de 2017 22:32, Leandro De Cicco > escreveu:
> Boa noite, Nei.
>
> Qual parte do manual de instalação fala isso? Na página 23 e na 24 fala
> da configuração do HTTPS no servidor SEI, após a instalação de
> certificados. Não instalamos certificados SSL nos servidores SEI, e
> nossa configuração consta como HTTP.
>
> Conforme meu email anterior, o problema está na hora de assinar
> digitalmente com o token USB, e não problema de "loop infinito" como
> consta no manual. Esse problema parece ser no applet que examinando o
> log, apresenta várias exceções java quando da erro.
>
> 2017-09-15 21:55 GMT-03:00 Nei Jobson da Costa Carneiro >:
> Conforme consta destacado no Manual de Instalação, tem que criar uma
> segunda rota paralela http.
>
> Tem que ter as duas rotas funcionando em paralelo.
>
> Em 15 de set de 2017 19:43, Leandro De Cicco > escreveu:
> Boa noite.
>
> Prezados participantes, quem de vocês utiliza o SEI com um proxy reverso
> (HAProxy por exemplo) na frente do servidor como balanceador? E desses
> quem já conseguiu assinar digitalmente documentos usando token USB.
>
> Na UFF nossa arquitetura está assim:
>
> Navegador <-https-> HAproxy (balancer) <-http-> Apache PHP (SEI/SIP)
>
> E estamos com problema para assinar digitalmente com o token usb.
> Fizemos um teste sem o balancer e funcionou.
>
>
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
>
>
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
> --
> Atenciosamente
>
> Leandro Ribeiro De Cicco
> leandrocicco@gmail.com
>
>
>
>
>
>
> --
>
> Atenciosamente
>
>
>
> *Leandro Ribeiro De Cicco*
>
> *leandrocicco@gmail.com *
>



--
Atenciosamente

*Leandro Ribeiro De Cicco*
*leandrocicco@gmail.com *

Pessoal, aqui na ATI - PE , habilitarmos o https em cluster pelo HAPROXY, usando o Let's Encrypt. A cadeia é reconhecida pelos navegadores. Existe alguns ajustes que devem ser feitos no haproxy.conf, e nas chaves disponibilizadas. Um exelente tutorial que pode ajudar a colocar o Lets Encrypt no HAPROXY (https://www.digitalocean.com/community/tutorials/how-to-implement-ssl-termination-with-haproxy-on-ubuntu-14-04).

Tivemos alguns problemas de funcionalidade do https no HAPROXY, e foi importante colocar no Backend a seguinte entrada:
...
cookie JSESSIONID prefix nocache
..

Vejam se resolve o problema.

Pessoal, aqui na ATI - PE , habilitarmos o https em cluster pelo HAPROXY, usando o Let's Encrypt. A cadeia é reconhecida pelos navegadores. Existe alguns ajustes que devem ser feitos no haproxy.conf, e nas chaves disponibilizadas. Um exelente tutorial que pode ajudar a colocar o Lets Encrypt no HAPROXY (https://www.digitalocean.com/community/tutorials/how-to-implement-ssl-termination-with-haproxy-on-ubuntu-14-04).

Tivemos alguns problemas de funcionalidade do https no HAPROXY, e foi importante colocar no Backend a seguinte entrada:
...
cookie JSESSIONID prefix nocache
..

Vejam se resolve o problema.

Pessoal, aqui na ATI - PE , habilitarmos o https em cluster pelo HAPROXY, usando o Let's Encrypt. A cadeia é reconhecida pelos navegadores. Existe alguns ajustes que devem ser feitos no haproxy.conf, e nas chaves disponibilizadas. Um exelente tutorial que pode ajudar a colocar o Lets Encrypt no HAPROXY (https://www.digitalocean.com/community/tutorials/how-to-implement-ssl-termination-with-haproxy-on-ubuntu-14-04).

Tivemos alguns problemas de funcionalidade do https no HAPROXY, e foi importante colocar no Backend a seguinte entrada:
...
cookie JSESSIONID prefix nocache
..

Vejam se resolve o problema.