Ошибка при скачивании сертификатов

malikzh / NCANode

⭐ Приложение-сервер для работы с Электронно Цифровой Подписью (ЭЦП) РК

http://ncanode.kz

MIT License

261 stars 88 forks source link

Ошибка при скачивании сертификатов #171

Closed dastan1910 closed 2 months ago

dastan1910 commented 1 year ago

Если нет скачанных сертификатов в volume то он не может скачать их

2023-07-01 09:38:42.742 INFO 1 --- [lTaskScheduler2] kz.ncanode.service.CaService : Updating CA certificates cache... 2023-07-01 09:38:42.743 INFO 1 --- [lTaskScheduler2] kz.ncanode.service.CaService : Downloading CA file: https://pki.gov.kz/cert/nca_gost.crt 2023-07-01 09:38:42.852 ERROR 1 --- [lTaskScheduler2] kz.ncanode.service.CaService : Cannot download file: https://pki.gov.kz/cert/nca_gost.crt 2023-07-01 09:38:42.852 ERROR 1 --- [lTaskScheduler2] kz.ncanode.service.CaService : Cannot open CA certificate from: 'https://pki.gov.kz/cert/nca_gost.crt'. File name: /app/cache/ca/7CB5BC5E686EA1450326268FAE9A792B38567EEF.cer

dastan1910 commented 1 year ago

wget https://pki.gov.kz/cert/nca_gost.crt

не проверяется подлинность сертификата

--2023-07-03 11:49:13-- https://pki.gov.kz/cert/nca_gost.crt Распознаётся pki.gov.kz (pki.gov.kz)… 195.12.123.40 Подключение к pki.gov.kz (pki.gov.kz)|195.12.123.40|:443... соединение установлено. ОШИБКА: невозможно проверить сертификат pki.gov.kz, выпущенный ‘CN=RapidSSL TLS RSA CA G1,OU=www.digicert.com,O=DigiCert Inc,C=US’: Невозможно локально проверить подлинность запрашивающего. Для небезопасного подключения к pki.gov.kz используйте параметр «--no-check-certificate».

guaricema commented 1 year ago

С той же проблемой столкнулись. Временно взяли с локальной машины из app/cache сертификаты, подсунули при деплое вновь создаваемым экземплярам NCANode:

  ncanode:
    image: malikzh/ncanode:latest
    restart: 'always'
    volumes:
      - type: bind
        source: ./ncanode
        target: /app/cache

Ищем нормальное решение.

guaricema commented 1 year ago

@dastan1910 Рабочее и относительно устраивающее решение. Проблема с SSL, но HTTP работает без нареканий. Просто в NCANODE_CA_URL отдаем список адресов корневых сертификатов без HTTPS:

  ncanode:
    image: malikzh/ncanode:latest
    restart: 'always'
    environment:
      NCANODE_CA_URL: http://pki.gov.kz/cert/nca_rsa.crt http://pki.gov.kz/cert/nca_gost.crt http://pki.gov.kz/cert/root_gost_2022.cer http://pki.gov.kz/cert/nca_gost_2022.cer

Нас пока устроило.