Project

General

Profile

Scénario #15927

Étudier la gestion des certificats sur 2.6

Added by Joël Cuissinat over 5 years ago. Updated over 5 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
03/29/2016
Due date:
05/26/2016
% Done:

100%

Estimated time:
(Total: 25.50 h)
Spent time:
(Total: 13.33 h)
Story points:
8.0
Remaining (hours):
0.00 hour
Velocity based estimate:
6 days
Release:
Release relationship:
Auto

Description

Pistes de travail :

  • droits appliqués sur les fichiers (600)
  • contenu de la requête :
    • bannir les IP/nom
    • vérifier les CN et les altname
  • maquette OCSP/CRL
  • certificats auto-signés :
    • génération aléatoire su serial id
    • plus de certificat auto-signé à terme

Subtasks

ead - Tâche #15676: Étudier les problèmes de communication entre ead-server et ead-webFerméPhilippe Caseiro

Tâche #15948: Étudier la possibilité de ne plus générer de certificat auto signéFerméPhilippe Caseiro

Tâche #15950: Bannir les IP des alterateNameFerméFabrice Barconnière

Tâche #15951: Tester letsencryptFerméPhilippe Caseiro

Tâche #15949: Générer des serialId aléatoiresNe sera pas résoluFabrice Barconnière

Tâche #16158: le numero de serie des ceritificats devrait etre uniqueFerméFabrice Barconnière

History

#1 Updated by Joël Cuissinat over 5 years ago

  • Description updated (diff)
  • Story points set to 8.0

#2 Updated by Joël Cuissinat over 5 years ago

  • Target version changed from sprint 2016 16-18 - Equipe MENESR to sprint 2016 19-21 - Equipe MENESR

#3 Updated by Joël Cuissinat over 5 years ago

  • Assigned To changed from force orange to force indigo

#4 Updated by Philippe Caseiro over 5 years ago

La problématique des certificats est fortement liée au problème du nommage de la machine.

Aujourd'hui sur un serveur scribe il est possible que la machine ai jusqu'a 3 noms :
  1. Nom de domaine local : scribe.etb1.lan
  2. Nom de domaine public : scribe.ac-test.fr
  3. Web url : etb1.ac-test.fr

Ce mode de fonctionnement est incompatible avec la gestion des certificats "modernes".

Le problème est qu'il n'est pas possible de produire un certificat "valide" pour tous les noms.
Les services comme l'EAD utilisent 127.0.0.1 ce qui deviens également impossible, du coup comment déterminer quel nom utiliser pour la communication entre le backend et le frontend, pareil pour zephir, ou tous les services EOLE qui utilisent le principe "frontend/backend".

Il y a deux approches pour "résoudre" ce problème :

  1. Le nom unique ! la machine a un et un seul nom resolvable depuis n'importe ou
    (interieur/extérieur).
  2. Le domaine unique et un nom par service (imap, sso, ead, services web ...) et
    les noms en question doivent être résolvables depuis n'importe ou
    (intérieur/extérieur).

Les deux solutions sont très proches, et compatibles avec 'Let's Encrypt' si les domaines sont publics.

En l'état actuel des choses il est très difficile d'apporter une solution sans remettre en question nos méthodes dans la gestion des noms de machines et de génération de certificats.

#5 Updated by Fabrice Barconnière over 5 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF