Tâche #16180
Distribution EOLE - Scénario #16058: Traitement express (19-21)
Problème d'importation d'un certificat PNCN sans la chaine sur Sphynx 2.5.2 migré depuis un Sphynx 2.4.2 déjà configuré pour la PNCN
Description
Problème se produisant sur un Sphynx 2.5.2 migré depuis un Sphynx 2.4.2 configuré pour la PNCN.
Lors de l'importation du certificat sans la chaine, Arv renvoie une erreur comme quoi l'AC n'est pas présente en base.
Pourtant lorsque l'on fait un init_pncn, l'AC est bien présente.
Vu avec Fabrice Barconnière : il y a un bug dans le script /usr/lib/python2.7/dist-packages/arv/db/node.py ligne 278
En commentant les 2 lignes ça passe.
Cependant, on ne peut toujours pas créer de tunnel ensuite car Arv ne trouve pas le certificat. Si on fait "ajouter un certificat", ARv nous répond que le certificat existe déjà.
Code concerné (extrait mail sur liste Amon-Sphynx) :
il y a peut-être un bug dans ARV. En effet, la fonction *bin_encoding* a du être revue suite à l'évolution des outils fournis par strongSwan.
cette fonction est utilisée dans *arv/db/node.py* ligne 275 pour calculer le subject de l'issuer et vérifier si le certificat cet issuer est présent ou non dans la base.
Exceptionnellement et dans l'urgence, vous pouvez commenter les 2 lignes suivantes et relancer ARV pour permettre l'ajout du certificat :
if ca == None:
raise Exception("CA does not exists in database, Can't add certificate")
Fichier PEM :
Message d'erreur : "L'AC n'existe pas dans la base, ne peut ajouter le certificat"
Fichier PKCS7 :
Je viens de tester, de mon côté j'ai une autre erreur lorsque j'essaie d'importer un certificat sur mes 2 Sphynx 2.5.2 : "error in add_cred_auth: Credential with same name already exists"
Fichier PKCS12 :
quand j'essaie un PKCS12 j'ai l'erreur "Cannot read pkcs12: Error in execution 'openssl pkcs12' command"
Demandes liées
Révisions associées
Upgrade des subjects des certificats suite à la disparition de l'outil
id2sql fournit par les anciennes versions de strongSwan
- nouvelle table DbVersion (arv_db_version_dbversion)
- champ version en text unicode
- variable arv_db_version = u'1.0.0' pour le première version versionnée d'ARV
- upgrade du subject avec la fonction bin_encoding refactorée en 2.5.2
- gestion de la verion de la base de donnée ARV
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Tracker changé de Demande à Tâche
- Projet changé de Sphynx à arv
- Sujet changé de Problème d'importation d'un certificat PNCN sans la chaine sur Sphynx 2.5.2 à Problème d'importation d'un certificat PNCN sans la chaine sur Sphynx 2.5.2 migré depuis un Sphynx 2.4.2 déjà configuré pour la PNCN
- Description mis à jour (diff)
- Temps estimé mis à 3.00 h
- Tâche parente mis à #16058
- Restant à faire (heures) mis à 3.0
#2 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de Nouveau à En cours
#3 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Assigné à mis à Fabrice Barconnière
#4 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- % réalisé changé de 0 à 50
Répondu par mail sur la liste pour traiter le problème dans l'urgence : http://pcll.ac-dijon.fr/listes/arc/amon-sphynx/2016-05/msg00073.html
#5 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Fichier upgrade_certificates_subject_field.py Voir ajouté
#6 Mis à jour par Olivier FEBWIN il y a presque 8 ans
Parfait, ça fonctionne !
Merci beaucoup
#7 Mis à jour par Olivier FEBWIN il y a presque 8 ans
...mais toujours pas pour l'import de pkcs12 mais c'est beaucoup moins urgent du coup
#8 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- % réalisé changé de 50 à 100
- Restant à faire (heures) changé de 3.0 à 0.1
#9 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de En cours à Résolu
#10 Mis à jour par Joël Cuissinat il y a presque 8 ans
Validé par l'utilisateur
#11 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.1 à 0.0