Содержание

Целевой аудиторией данного руководства являются системные администраторы Сервера безопасности Тундук ответственные за установку и сопровождение программного обеспечения X-Road. Документ предназначен для читателей с умеренными знаниями администрирования Linux серверов и компьютерных сетей.

Client Specifies HTTPS But Did Not Supply TLS Certificate

Проблема

Security Server возвращает приведенное ниже сообщение об ошибке, когда информационная система клиента пытается отправить сообщение запроса.

REST Error Message

{
   "type":"Server.ClientProxy.SslAuthenticationFailed",
   "message":"Client (SUBSYSTEM:PLAYGROUND/COM/1234567-8/TestClient) specifies HTTPS but did not supply TLS certificate",
   "detail":"2ea02d93-e0b8-4e2b-8c6e-fac20f53a3e3"
}

SOAP Error Message

<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
   <SOAP-ENV:Body>
      <SOAP-ENV:Fault>
         <faultcode>Server.ClientProxy.SslAuthenticationFailed</faultcode>
         <faultstring>Client (SUBSYSTEM:PLAYGROUND/COM/1234567-8/TestClient) specifies HTTPS but did not supply TLS certificate</faultstring>
         <faultactor />
         <detail>
            <faultDetail>b782c3a4-f279-43d1-8684-2af318ec2ca5</faultDetail>
         </detail>
      </SOAP-ENV:Fault>
   </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

Решение

Начиная с версии 6.22.0 тип подключения по умолчанию для всех клиентов Security Server установлен на HTTPS для предотвращения несанкционированного использования клиентов. Это означает, что по умолчанию в соединениях между Сервером безопасности и клиентскими информационными системами используется взаимная TLS-аутентификация. Поэтому сертификат TLS клиента информационной системы должен быть загружен на сервер безопасности, прежде чем можно будет вызывать какие-либо службы. Сообщение об ошибке выше говорит о том, что TLS-сертификат клиентской информационной системы еще не загружен на Security Server. В качестве альтернативы тип подключения можно изменить на HTTP или NOAUTH — не рекомендуется если Вы используете сервер безопасности и адаптеры не в одной сети.


Автор Даниил Горбенко