Project

General

Profile

Tâche #20804

Scénario #20668: Finaliser Upgrade-Auto de 2.5.2 vers 2.6.1 (suite)

Vérifier la validité du certificat SSL de Zéphir avant de commencer l'upgrade si le serveur est enregistré sur Zéphir et au moment d'enregistrer pour éviter le traceback.

Added by Fabrice Barconnière over 2 years ago. Updated about 2 years ago.

Status:
Fermé
Priority:
Normal
Start date:
04/24/2017
Due date:
% Done:

100%

Estimated time:
3.00 h
Spent time:
Remaining (hours):
0.0

Description

Si le serveur est enregistré sur Zéphir, l'upgrade se termine avec un traceback :

z_stats: unrecognized service

Cette fonctionnalité nécessite un compte ayant les permissions suivantes
dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) :

- Lecture
- Actions sur les clients (avec ou sans modification de configuration) ou enregistrement
- Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules))

Entrez votre login zephir (rien pour sortir) : admin_zephir
Mot de passe zephir pour admin_zephir : 
Traceback (most recent call last):
  File "/usr/share/zephir/scripts/upgrade_distrib.py", line 417, in <module>
    res = upgrade()
  File "/usr/share/zephir/scripts/upgrade_distrib.py", line 134, in upgrade
    authentified, data = get_pwd(adresse_zephir, 7080)
  File "/usr/share/zephir/scripts/upgrade_distrib.py", line 353, in get_pwd
    res = convert(proxy.get_permissions(user))
  File "/usr/lib/python2.7/xmlrpclib.py", line 1243, in __call__
    return self.__send(self.__name, args)
  File "/usr/lib/python2.7/dist-packages/zephir/eolerpclib.py", line 99, in __request
    verbose=self.__verbose
  File "/usr/lib/python2.7/xmlrpclib.py", line 1283, in request
    return self.single_request(host, handler, request_body, verbose)
  File "/usr/lib/python2.7/xmlrpclib.py", line 1311, in single_request
    self.send_content(h, request_body)
  File "/usr/lib/python2.7/xmlrpclib.py", line 1459, in send_content
    connection.endheaders(request_body)
  File "/usr/lib/python2.7/httplib.py", line 1053, in endheaders
    self._send_output(message_body)
  File "/usr/lib/python2.7/httplib.py", line 897, in _send_output
    self.send(msg)
  File "/usr/lib/python2.7/httplib.py", line 859, in send
    self.connect()
  File "/usr/lib/python2.7/httplib.py", line 1278, in connect
    server_hostname=server_hostname)
  File "/usr/lib/python2.7/ssl.py", line 353, in wrap_socket
    _context=self)
  File "/usr/lib/python2.7/ssl.py", line 601, in __init__
    self.do_handshake()
  File "/usr/lib/python2.7/ssl.py", line 830, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
zephir - Syslog logging is not working properly: Unable to configure handler u'syslog': [Errno 2] No such file or directory
zephir - Vous devez peut-être démarrer ou redémarrer systemd-journald

Associated revisions

Revision c2f7bbaa (diff)
Added by Fabrice Barconnière over 2 years ago

Upgrade-Auto : le certificat SSL de Zéphir doit être valide avant l'Upgrade

ref #20804

Revision a64fffe1 (diff)
Added by Fabrice Barconnière about 2 years ago

Le port utiliser pour obtenir le certificat SSL Zéphir était incorrect

ref #20804

Revision a9d55f72 (diff)
Added by Fabrice Barconnière about 2 years ago

Le test de validation du certificat SSL de Zéphir ne gérait pas les multiples AltName

ref #20804

History

#1 Updated by Fabrice Barconnière over 2 years ago

Pour récupérer le certificat : ex +'g/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect zephir.ac-test.fr:443 2>&1) -scq > zephir.pem
Pour vérifier le certificat : openssl verify -untrusted zephir.pem zephir.pem

#2 Updated by Scrum Master over 2 years ago

  • Status changed from Nouveau to En cours

#3 Updated by Scrum Master over 2 years ago

  • Assigned To set to Fabrice Barconnière

#4 Updated by Fabrice Barconnière over 2 years ago

Un autre problème :
Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir.

#5 Updated by Fabrice Barconnière over 2 years ago

  • % Done changed from 0 to 50
  • Remaining (hours) changed from 3.0 to 1.5

#6 Updated by Fabrice Barconnière over 2 years ago

  • % Done changed from 50 to 100
  • Remaining (hours) changed from 1.5 to 0.5
Pour tester il faut un Zéphir 2.6.1 avec conf et un aca.eolebase 2.5.2 instance-default à jour en candidate
  • Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
  • Lancer Upgrade-Auto --limit-rate 0
    • La procédure s'arrête :
      --------------------------------------------------------------------------------
                                      Vérification du système                                 
      --------------------------------------------------------------------------------
      
      Upgrade impossible :
      Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir
      
      Upgrade impossible :
      Certificat de Zéphir non validé !
       utiliser sur Zéphir un certificat signé par une autorité reconnue,
        ou
       Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
       /usr/local/share/ca-certificates et lancer update-ca-certificates.
      
      
  • Relancer enregistrement_zephir en utilisant l'adresse Zéphir zephir.ac-test.fr
  • Supprimer le répertoire /tmp/Upgrade-Auto
  • Relancer Upgrade-Auto --limit-rate 0
    • La procédure s'arrête :
      --------------------------------------------------------------------------------
                                  Vérification du système                             
      --------------------------------------------------------------------------------
      
      Upgrade impossible :
      Certificat de Zéphir non validé !
       utiliser sur Zéphir un certificat signé par une autorité reconnue,
        ou
       Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
       /usr/local/share/ca-certificates et lancer update-ca-certificates.
      

#7 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from En cours to Résolu

#8 Updated by Fabrice Barconnière about 2 years ago

  • Status changed from Résolu to En cours

#9 Updated by Fabrice Barconnière about 2 years ago

  • % Done changed from 100 to 80
  • Remaining (hours) changed from 0.5 to 1.0

Le port utilisé (443) pour récupérer le certificat n'est pas bon.
Par exemple, un scribe derrière un proxy Amon récupérera le certificat SSL d'AMon. Il faut utiliser le port 7080 qui n'est pas redirigé vers le proxy.

#10 Updated by Fabrice Barconnière about 2 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 80 to 100
  • Remaining (hours) changed from 1.0 to 0.5

#11 Updated by Gérald Schwartzmann about 2 years ago

  • Remaining (hours) changed from 0.5 to 0.0

#12 Updated by Gérald Schwartzmann about 2 years ago

** le numéro attribué à ce serveur sur le serveur Zéphir est : 700 **
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
                         Copie des scripts de migration                         
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
                            Vérification du système                             
--------------------------------------------------------------------------------

Upgrade impossible :
Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir

Upgrade impossible :
Certificat de Zéphir non validé !
 utiliser sur Zéphir un certificat signé par une autorité reconnue,
  ou
 Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
 /usr/local/share/ca-certificates et lancer update-ca-certificates.

root@eolebase:~#
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà 
Le répertoire /tmp/Upgrade-Auto existe déjà
root@eolebase:~#
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
                         Copie des scripts de migration                         
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
                            Vérification du système                             
--------------------------------------------------------------------------------

Upgrade impossible :
Certificat de Zéphir non validé !
 utiliser sur Zéphir un certificat signé par une autorité reconnue,
  ou
 Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
 /usr/local/share/ca-certificates et lancer update-ca-certificates.

root@eolebase:~# 

Aucun signe de traceback

root@eolebase:~# scp zephir.ac-test.fr:/etc/ssl/certs/ca_local.crt /usr/local/share/ca-certificates
Warning: Permanently added 'zephir.ac-test.fr,192.168.0.20' (ECDSA) to the list of known hosts.
root@zephir.ac-test.fr's password: 
ca_local.crt                                                                                                                100% 1736     1.7KB/s   00:00    
root@eolebase:~# update-ca-certificates
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate ACInfraEducation.pem
WARNING: Skipping duplicate certificate ACInfraEducation.pem
WARNING: Skipping duplicate certificate ca.crt
WARNING: Skipping duplicate certificate ca.crt
WARNING: Skipping duplicate certificate eole.pem
WARNING: Skipping duplicate certificate eole.pem
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.
root@eolebase:~#
Running hooks in /etc/ca-certificates/update.d....done.
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà 
Le répertoire /tmp/Upgrade-Auto existe déjà
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
                         Copie des scripts de migration                         
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
                            Vérification du système                             
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
                     Vérification de l'état de mise à jour                      
--------------------------------------------------------------------------------
Action update pour root                                                   [/] 

z_stats: unrecognized service

Cette fonctionnalité nécessite un compte ayant les permissions suivantes
dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) :

- Lecture
- Actions sur les clients (avec ou sans modification de configuration) ou enregistrement
- Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules))

Entrez votre login zephir (rien pour sortir) : admin_zephir
Mot de passe zephir pour admin_zephir : 

Attention ! La configuration de migration n'a pas été préparée sur le serveur Zéphir

Veuillez sélectionner une variante parmi celles proposées :

** liste des variantes de ce module **

91 * standard                                                                   

variante (91 par défaut): 

#13 Updated by Gérald Schwartzmann about 2 years ago

Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir. → C'est toujours le cas.

#14 Updated by Gérald Schwartzmann about 2 years ago

  • Status changed from Résolu to Fermé

#15 Updated by Fabrice Barconnière about 2 years ago

  • Status changed from Fermé to En cours

#16 Updated by Fabrice Barconnière about 2 years ago

  • % Done changed from 100 to 80
  • Remaining (hours) changed from 0.0 to 1.5

Le script ne gère pas les Subject Alt names multiples

#17 Updated by Fabrice Barconnière about 2 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 80 to 100
  • Remaining (hours) changed from 1.5 to 0.5
Pour vérifier les AltName multiples :
  • aca.Zéphir 2.6.1 avec conf
  • aca.eolebase instance-default 2.5.2 à jour en candidate
Ajouter un AltName au certificat SSL de Zéphir :
  • Se connecter en ssh sur Zéphir
  • CreoleSet ssl_subjectaltname """zephir.ac-test.fr
    > zephir3.ac-test.fr"""
  • CreoleCat -t certif-eole.conf
  • /usr/share/creole/gen_certif.py -f
Vérifier le certificat depuis Eolebase
  • Se connecter en ssh sur Eolebase
  • Vérifier qu'il est à jour en candidate
  • Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
  • Lancer Upgrade-Auto --limit-rate 0
    --------------------------------------------------------------------------------
                                Vérification du système                             
    --------------------------------------------------------------------------------
    
    Upgrade impossible :
    Relancer "enregistrement_zephir" en utilisant le nom DNS "zephir3.ac-test.fr" ou "zephir1.ac-test.fr" comme adresse de Zéphir
    
    Upgrade impossible :
    Certificat de Zéphir non validé !
     utiliser sur Zéphir un certificat signé par une autorité reconnue,
      ou
     Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
     /usr/local/share/ca-certificates et lancer update-ca-certificates.
    
Relancer enregistrement_zephir en utilisant l'adresse Zéphir zephir.ac-test.fr
  • Supprimer le répertoire /tmp/Upgrade-Auto
  • Relancer Upgrade-Auto --limit-rate 0
    • La procédure s'arrête :
      --------------------------------------------------------------------------------
                                  Vérification du système                             
      --------------------------------------------------------------------------------
      
      Upgrade impossible :
      Certificat de Zéphir non validé !
       utiliser sur Zéphir un certificat signé par une autorité reconnue,
        ou
       Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
       /usr/local/share/ca-certificates et lancer update-ca-certificates.
      

#18 Updated by Gérald Schwartzmann about 2 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF