Project

General

Profile

Tâche #15676

Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6

Étudier les problèmes de communication entre ead-server et ead-web

Added by Scrum Master about 5 years ago. Updated almost 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/29/2016
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Le problème vient d'une évolution de python qui active par défaut la validation des certificats lors des appels HTTPS.

voir : https://www.python.org/dev/peps/pep-0476/

2 problématiques se posent :

  • python utilise les CA installées au niveau système pour la validation des certificats
  • L'adresse utilisée pour faire les appels (xmlrpc, urllib, ...) doit correspondre aux noms déclarés dans le certificat (attention, les IP alternatives ne sont pas prises en compte, seulement les noms DNS).

plusieurs solutions sont possibles :

  • désactiver globalement cette validation (pas bien)
  • la désactiver dans chaque application (un peu mieux mais pas bien non plus)
  • utiliser uniquement des certificats signés par des autorités reconnues (ou configurer python pour prendre en compte la CA auto-signée) + configuration correcte au niveau des noms dns).

On pourrait aussi envisager de proposer un choix dans gen_config (activer ou non la validation + configuration des CA et noms d'hôtes si besoin)


Related issues

Related to ead - Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server Fermé 09/04/2019

Associated revisions

Revision 5e01729c (diff)
Added by Philippe Caseiro almost 5 years ago

Faire marcher l'EAD en 2.6.

Afin de résoudre le problème de communication entre le "backend"
et le "frontend" il ne faut plus utiliser 127.0.0.1 car 127.0.0.1 n'est
pas dans le certificat SSL.

L'utilisation du contenus de la variable 'ssl_server_name' rend le
fonctionnement possible.

Pour enregistrer un serveur EAD distant, il faut que le certificat du
serveur distant soit reconnu "valide" par le serveur "local/père ...".
Donc soit le serveur a un certificat signé par une autorité reconnue,
soit on ajoute la CA qui a signé le certificat du serveur distant sur le
serveur local.

Pour info nous l'avons fait avec un Amon et un Scribe 2.6 sur etb1, nous
avons copiés la CA du scribe dans
/usr/local/share/ca-certificates/menesr/ca_scribe.crt, puis lancé la
commande "update-ca-certificates"

ref #15676 @7h

History

#1 Updated by Scrum Master about 5 years ago

  • Estimated time changed from 2.00 h to 4.00 h

#2 Updated by Bruno Boiget about 5 years ago

  • Description updated (diff)

#3 Updated by Philippe Caseiro about 5 years ago

  • Assigned To set to Philippe Caseiro

#4 Updated by Philippe Caseiro about 5 years ago

Je pense que la solution la plus simple aujourd'hui est :

  • configurer python pour prendre en compte la CA auto-signée + configuration correcte au niveau des noms dns.

#5 Updated by Philippe Caseiro about 5 years ago

  • Assigned To deleted (Philippe Caseiro)

#6 Updated by Joël Cuissinat about 5 years ago

  • Parent task changed from #14690 to #15927

#7 Updated by Philippe Caseiro almost 5 years ago

  • Assigned To set to Philippe Caseiro

#8 Updated by Philippe Caseiro almost 5 years ago

  • Remaining (hours) changed from 2.0 to 0.2

#9 Updated by Lionel Morin almost 5 years ago

  • Status changed from Nouveau to En cours

#10 Updated by Lionel Morin almost 5 years ago

  • Status changed from En cours to Résolu

#11 Updated by Fabrice Barconnière almost 5 years ago

  • % Done changed from 0 to 100

#12 Updated by Fabrice Barconnière almost 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.2 to 0.0

#13 Updated by Joël Cuissinat over 3 years ago

  • Related to Tâche #22361: Le nom de domaine devrait être mis à jour dans l'ead2-server added

Also available in: Atom PDF