Tâche #15676
Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6
Étudier les problèmes de communication entre ead-server et ead-web
Description
Le problème vient d'une évolution de python qui active par défaut la validation des certificats lors des appels HTTPS.
voir : https://www.python.org/dev/peps/pep-0476/
2 problématiques se posent :
- python utilise les CA installées au niveau système pour la validation des certificats
- L'adresse utilisée pour faire les appels (xmlrpc, urllib, ...) doit correspondre aux noms déclarés dans le certificat (attention, les IP alternatives ne sont pas prises en compte, seulement les noms DNS).
plusieurs solutions sont possibles :
- désactiver globalement cette validation (pas bien)
- la désactiver dans chaque application (un peu mieux mais pas bien non plus)
- utiliser uniquement des certificats signés par des autorités reconnues (ou configurer python pour prendre en compte la CA auto-signée) + configuration correcte au niveau des noms dns).
On pourrait aussi envisager de proposer un choix dans gen_config (activer ou non la validation + configuration des CA et noms d'hôtes si besoin)
Demandes liées
Révisions associées
Faire marcher l'EAD en 2.6.
Afin de résoudre le problème de communication entre le "backend"
et le "frontend" il ne faut plus utiliser 127.0.0.1 car 127.0.0.1 n'est
pas dans le certificat SSL.
L'utilisation du contenus de la variable 'ssl_server_name' rend le
fonctionnement possible.
Pour enregistrer un serveur EAD distant, il faut que le certificat du
serveur distant soit reconnu "valide" par le serveur "local/père ...".
Donc soit le serveur a un certificat signé par une autorité reconnue,
soit on ajoute la CA qui a signé le certificat du serveur distant sur le
serveur local.
Pour info nous l'avons fait avec un Amon et un Scribe 2.6 sur etb1, nous
avons copiés la CA du scribe dans
/usr/local/share/ca-certificates/menesr/ca_scribe.crt, puis lancé la
commande "update-ca-certificates"
ref #15676 @7h
Historique
#1 Mis à jour par Scrum Master il y a presque 8 ans
- Temps estimé changé de 2.00 h à 4.00 h
#2 Mis à jour par Bruno Boiget il y a presque 8 ans
- Description mis à jour (diff)
#3 Mis à jour par Philippe Caseiro il y a presque 8 ans
- Assigné à mis à Philippe Caseiro
#4 Mis à jour par Philippe Caseiro il y a presque 8 ans
Je pense que la solution la plus simple aujourd'hui est :
- configurer python pour prendre en compte la CA auto-signée + configuration correcte au niveau des noms dns.
#5 Mis à jour par Philippe Caseiro il y a presque 8 ans
- Assigné à
Philippe Caseirosupprimé
#6 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Tâche parente changé de #14690 à #15927
#7 Mis à jour par Philippe Caseiro il y a presque 8 ans
- Assigné à mis à Philippe Caseiro
#8 Mis à jour par Philippe Caseiro il y a presque 8 ans
- Restant à faire (heures) changé de 2.0 à 0.2
#9 Mis à jour par Lionel Morin il y a presque 8 ans
- Statut changé de Nouveau à En cours
#10 Mis à jour par Lionel Morin il y a presque 8 ans
- Statut changé de En cours à Résolu
#11 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- % réalisé changé de 0 à 100
#12 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.2 à 0.0
#13 Mis à jour par Joël Cuissinat il y a environ 6 ans
- Lié à Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server ajouté