https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2016-04-18T14:03:25ZEnsemble Ouvert Libre ÉvolutifDistribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6https://dev-eole.ac-dijon.fr/issues/15927?journal_id=695722016-04-18T14:03:25ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Description</strong> mis à jour (<a title="Voir les différences" href="/journals/69572/diff?detail_id=97051">diff</a>)</li><li><strong>Points de scénarios</strong> mis à <i>8.0</i></li></ul> Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6https://dev-eole.ac-dijon.fr/issues/15927?journal_id=702852016-05-04T13:30:34ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> changé de <i>sprint 2016 16-18 - Equipe MENESR</i> à <i>sprint 2016 19-21 - Equipe MENESR</i></li></ul> Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6https://dev-eole.ac-dijon.fr/issues/15927?journal_id=704922016-05-09T12:20:23ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Assigné à</strong> changé de <i>force orange</i> à <i>force indigo</i></li></ul> Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6https://dev-eole.ac-dijon.fr/issues/15927?journal_id=710062016-05-23T11:37:41ZPhilippe Caseiropcaseiro@cadoles.com
<ul></ul><p>La problématique des certificats est fortement liée au problème du nommage de la machine.</p>
Aujourd'hui sur un serveur scribe il est possible que la machine ai jusqu'a 3 noms :
<ol>
<li>Nom de domaine local : scribe.etb1.lan</li>
<li>Nom de domaine public : scribe.ac-test.fr</li>
<li>Web url : etb1.ac-test.fr</li>
</ol>
<p>Ce mode de fonctionnement est incompatible avec la gestion des certificats "modernes".</p>
<p>Le problème est qu'il n'est pas possible de produire un certificat "valide" pour tous les noms.<br />Les services comme l'EAD utilisent 127.0.0.1 ce qui deviens également impossible, du coup comment déterminer quel nom utiliser pour la communication entre le backend et le frontend, pareil pour zephir, ou tous les services EOLE qui utilisent le principe "frontend/backend".</p>
<p>Il y a deux approches pour "résoudre" ce problème :</p>
<ol>
<li>Le nom unique ! la machine a un et un seul nom resolvable depuis n'importe ou<br />(interieur/extérieur).</li>
<li>Le domaine unique et un nom par service (imap, sso, ead, services web ...) et<br />les noms en question doivent être résolvables depuis n'importe ou<br />(intérieur/extérieur).</li>
</ol>
<p>Les deux solutions sont très proches, et compatibles avec 'Let's Encrypt' si les domaines sont publics.</p>
<p>En l'état actuel des choses il est très difficile d'apporter une solution sans remettre en question nos méthodes dans la gestion des noms de machines et de génération de certificats.</p> Distribution EOLE - Scénario #15927: Étudier la gestion des certificats sur 2.6https://dev-eole.ac-dijon.fr/issues/15927?journal_id=712662016-05-30T12:10:42ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Terminé (Sprint)</i></li></ul>