Projet

Général

Profil

Tâche #15676

Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6

Étudier les problèmes de communication entre ead-server et ead-web

Ajouté par Scrum Master il y a presque 8 ans. Mis à jour il y a presque 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
29/03/2016
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
Restant à faire (heures):
0.0

Description

Le problème vient d'une évolution de python qui active par défaut la validation des certificats lors des appels HTTPS.

voir : https://www.python.org/dev/peps/pep-0476/

2 problématiques se posent :

  • python utilise les CA installées au niveau système pour la validation des certificats
  • L'adresse utilisée pour faire les appels (xmlrpc, urllib, ...) doit correspondre aux noms déclarés dans le certificat (attention, les IP alternatives ne sont pas prises en compte, seulement les noms DNS).

plusieurs solutions sont possibles :

  • désactiver globalement cette validation (pas bien)
  • la désactiver dans chaque application (un peu mieux mais pas bien non plus)
  • utiliser uniquement des certificats signés par des autorités reconnues (ou configurer python pour prendre en compte la CA auto-signée) + configuration correcte au niveau des noms dns).

On pourrait aussi envisager de proposer un choix dans gen_config (activer ou non la validation + configuration des CA et noms d'hôtes si besoin)


Demandes liées

Lié à ead - Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server Fermé 04/09/2019

Révisions associées

Révision 5e01729c (diff)
Ajouté par Philippe Caseiro il y a presque 8 ans

Faire marcher l'EAD en 2.6.

Afin de résoudre le problème de communication entre le "backend"
et le "frontend" il ne faut plus utiliser 127.0.0.1 car 127.0.0.1 n'est
pas dans le certificat SSL.

L'utilisation du contenus de la variable 'ssl_server_name' rend le
fonctionnement possible.

Pour enregistrer un serveur EAD distant, il faut que le certificat du
serveur distant soit reconnu "valide" par le serveur "local/père ...".
Donc soit le serveur a un certificat signé par une autorité reconnue,
soit on ajoute la CA qui a signé le certificat du serveur distant sur le
serveur local.

Pour info nous l'avons fait avec un Amon et un Scribe 2.6 sur etb1, nous
avons copiés la CA du scribe dans
/usr/local/share/ca-certificates/menesr/ca_scribe.crt, puis lancé la
commande "update-ca-certificates"

ref #15676 @7h

Historique

#1 Mis à jour par Scrum Master il y a presque 8 ans

  • Temps estimé changé de 2.00 h à 4.00 h

#2 Mis à jour par Bruno Boiget il y a presque 8 ans

  • Description mis à jour (diff)

#3 Mis à jour par Philippe Caseiro il y a presque 8 ans

  • Assigné à mis à Philippe Caseiro

#4 Mis à jour par Philippe Caseiro il y a presque 8 ans

Je pense que la solution la plus simple aujourd'hui est :

  • configurer python pour prendre en compte la CA auto-signée + configuration correcte au niveau des noms dns.

#5 Mis à jour par Philippe Caseiro il y a presque 8 ans

  • Assigné à Philippe Caseiro supprimé

#6 Mis à jour par Joël Cuissinat il y a presque 8 ans

  • Tâche parente changé de #14690 à #15927

#7 Mis à jour par Philippe Caseiro il y a presque 8 ans

  • Assigné à mis à Philippe Caseiro

#8 Mis à jour par Philippe Caseiro il y a presque 8 ans

  • Restant à faire (heures) changé de 2.0 à 0.2

#9 Mis à jour par Lionel Morin il y a presque 8 ans

  • Statut changé de Nouveau à En cours

#10 Mis à jour par Lionel Morin il y a presque 8 ans

  • Statut changé de En cours à Résolu

#11 Mis à jour par Fabrice Barconnière il y a presque 8 ans

  • % réalisé changé de 0 à 100

#12 Mis à jour par Fabrice Barconnière il y a presque 8 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.2 à 0.0

#13 Mis à jour par Joël Cuissinat il y a environ 6 ans

  • Lié à Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server ajouté

Formats disponibles : Atom PDF