Tâche #15676
Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6
Étudier les problèmes de communication entre ead-server et ead-web
Description
Le problème vient d'une évolution de python qui active par défaut la validation des certificats lors des appels HTTPS.
voir : https://www.python.org/dev/peps/pep-0476/
2 problématiques se posent :
- python utilise les CA installées au niveau système pour la validation des certificats
- L'adresse utilisée pour faire les appels (xmlrpc, urllib, ...) doit correspondre aux noms déclarés dans le certificat (attention, les IP alternatives ne sont pas prises en compte, seulement les noms DNS).
plusieurs solutions sont possibles :
- désactiver globalement cette validation (pas bien)
- la désactiver dans chaque application (un peu mieux mais pas bien non plus)
- utiliser uniquement des certificats signés par des autorités reconnues (ou configurer python pour prendre en compte la CA auto-signée) + configuration correcte au niveau des noms dns).
On pourrait aussi envisager de proposer un choix dans gen_config (activer ou non la validation + configuration des CA et noms d'hôtes si besoin)
Related issues
Associated revisions
Faire marcher l'EAD en 2.6.
Afin de résoudre le problème de communication entre le "backend"
et le "frontend" il ne faut plus utiliser 127.0.0.1 car 127.0.0.1 n'est
pas dans le certificat SSL.
L'utilisation du contenus de la variable 'ssl_server_name' rend le
fonctionnement possible.
Pour enregistrer un serveur EAD distant, il faut que le certificat du
serveur distant soit reconnu "valide" par le serveur "local/père ...".
Donc soit le serveur a un certificat signé par une autorité reconnue,
soit on ajoute la CA qui a signé le certificat du serveur distant sur le
serveur local.
Pour info nous l'avons fait avec un Amon et un Scribe 2.6 sur etb1, nous
avons copiés la CA du scribe dans
/usr/local/share/ca-certificates/menesr/ca_scribe.crt, puis lancé la
commande "update-ca-certificates"
ref #15676 @7h
History
#1 Updated by Scrum Master over 7 years ago
- Estimated time changed from 2.00 h to 4.00 h
#2 Updated by Bruno Boiget over 7 years ago
- Description updated (diff)
#3 Updated by Philippe Caseiro over 7 years ago
- Assigned To set to Philippe Caseiro
#4 Updated by Philippe Caseiro over 7 years ago
Je pense que la solution la plus simple aujourd'hui est :
- configurer python pour prendre en compte la CA auto-signée + configuration correcte au niveau des noms dns.
#5 Updated by Philippe Caseiro over 7 years ago
- Assigned To deleted (
Philippe Caseiro)
#6 Updated by Joël Cuissinat over 7 years ago
- Parent task changed from #14690 to #15927
#7 Updated by Philippe Caseiro over 7 years ago
- Assigned To set to Philippe Caseiro
#8 Updated by Philippe Caseiro over 7 years ago
- Remaining (hours) changed from 2.0 to 0.2
#9 Updated by Lionel Morin over 7 years ago
- Status changed from Nouveau to En cours
#10 Updated by Lionel Morin over 7 years ago
- Status changed from En cours to Résolu
#11 Updated by Fabrice Barconnière over 7 years ago
- % Done changed from 0 to 100
#12 Updated by Fabrice Barconnière over 7 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.2 to 0.0
#13 Updated by Joël Cuissinat over 5 years ago
- Related to Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server added