Projet

Général

Profil

Scénario #15927

Étudier la gestion des certificats sur 2.6

Ajouté par Joël Cuissinat il y a environ 8 ans. Mis à jour il y a presque 8 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
force indigo
Catégorie:
-
Version cible:
sprint 2016 19-21 - Equipe MENESR
Début:
29/03/2016
Echéance:
26/05/2016
% réalisé:

100%

Temps estimé:
(Total: 25.50 h)
Temps passé:
(Total: 13.33 h)
Points de scénarios:
8.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.6.0
Liens avec la release:
Auto

Description

Pistes de travail :

  • droits appliqués sur les fichiers (600)
  • contenu de la requête :
    • bannir les IP/nom
    • vérifier les CN et les altname
  • maquette OCSP/CRL
  • certificats auto-signés :
    • génération aléatoire su serial id
    • plus de certificat auto-signé à terme

Sous-tâches

ead - Tâche #15676: Étudier les problèmes de communication entre ead-server et ead-webFerméPhilippe Caseiro

Tâche #15948: Étudier la possibilité de ne plus générer de certificat auto signéFerméPhilippe Caseiro

Tâche #15950: Bannir les IP des alterateNameFerméFabrice Barconnière

Tâche #15951: Tester letsencryptFerméPhilippe Caseiro

Tâche #15949: Générer des serialId aléatoiresNe sera pas résoluFabrice Barconnière

Tâche #16158: le numero de serie des ceritificats devrait etre uniqueFerméFabrice Barconnière

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 8 ans

  • Description mis à jour (diff)
  • Points de scénarios mis à 8.0

#2 Mis à jour par Joël Cuissinat il y a presque 8 ans

  • Version cible changé de sprint 2016 16-18 - Equipe MENESR à sprint 2016 19-21 - Equipe MENESR

#3 Mis à jour par Joël Cuissinat il y a presque 8 ans

  • Assigné à changé de force orange à force indigo

#4 Mis à jour par Philippe Caseiro il y a presque 8 ans

La problématique des certificats est fortement liée au problème du nommage de la machine.

Aujourd'hui sur un serveur scribe il est possible que la machine ai jusqu'a 3 noms :
  1. Nom de domaine local : scribe.etb1.lan
  2. Nom de domaine public : scribe.ac-test.fr
  3. Web url : etb1.ac-test.fr

Ce mode de fonctionnement est incompatible avec la gestion des certificats "modernes".

Le problème est qu'il n'est pas possible de produire un certificat "valide" pour tous les noms.
Les services comme l'EAD utilisent 127.0.0.1 ce qui deviens également impossible, du coup comment déterminer quel nom utiliser pour la communication entre le backend et le frontend, pareil pour zephir, ou tous les services EOLE qui utilisent le principe "frontend/backend".

Il y a deux approches pour "résoudre" ce problème :

  1. Le nom unique ! la machine a un et un seul nom resolvable depuis n'importe ou
    (interieur/extérieur).
  2. Le domaine unique et un nom par service (imap, sso, ead, services web ...) et
    les noms en question doivent être résolvables depuis n'importe ou
    (intérieur/extérieur).

Les deux solutions sont très proches, et compatibles avec 'Let's Encrypt' si les domaines sont publics.

En l'état actuel des choses il est très difficile d'apporter une solution sans remettre en question nos méthodes dans la gestion des noms de machines et de génération de certificats.

#5 Mis à jour par Fabrice Barconnière il y a presque 8 ans

  • Statut changé de Nouveau à Terminé (Sprint)

Formats disponibles : Atom PDF