Tâche #20804
Scénario #20668: Finaliser Upgrade-Auto de 2.5.2 vers 2.6.1 (suite)
Vérifier la validité du certificat SSL de Zéphir avant de commencer l'upgrade si le serveur est enregistré sur Zéphir et au moment d'enregistrer pour éviter le traceback.
Status:
Fermé
Priority:
Normal
Assigned To:
Target version:
Remaining (hours):
0.0
Description
Si le serveur est enregistré sur Zéphir, l'upgrade se termine avec un traceback :
z_stats: unrecognized service
Cette fonctionnalité nécessite un compte ayant les permissions suivantes
dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) :
- Lecture
- Actions sur les clients (avec ou sans modification de configuration) ou enregistrement
- Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules))
Entrez votre login zephir (rien pour sortir) : admin_zephir
Mot de passe zephir pour admin_zephir :
Traceback (most recent call last):
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 417, in <module>
res = upgrade()
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 134, in upgrade
authentified, data = get_pwd(adresse_zephir, 7080)
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 353, in get_pwd
res = convert(proxy.get_permissions(user))
File "/usr/lib/python2.7/xmlrpclib.py", line 1243, in __call__
return self.__send(self.__name, args)
File "/usr/lib/python2.7/dist-packages/zephir/eolerpclib.py", line 99, in __request
verbose=self.__verbose
File "/usr/lib/python2.7/xmlrpclib.py", line 1283, in request
return self.single_request(host, handler, request_body, verbose)
File "/usr/lib/python2.7/xmlrpclib.py", line 1311, in single_request
self.send_content(h, request_body)
File "/usr/lib/python2.7/xmlrpclib.py", line 1459, in send_content
connection.endheaders(request_body)
File "/usr/lib/python2.7/httplib.py", line 1053, in endheaders
self._send_output(message_body)
File "/usr/lib/python2.7/httplib.py", line 897, in _send_output
self.send(msg)
File "/usr/lib/python2.7/httplib.py", line 859, in send
self.connect()
File "/usr/lib/python2.7/httplib.py", line 1278, in connect
server_hostname=server_hostname)
File "/usr/lib/python2.7/ssl.py", line 353, in wrap_socket
_context=self)
File "/usr/lib/python2.7/ssl.py", line 601, in __init__
self.do_handshake()
File "/usr/lib/python2.7/ssl.py", line 830, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
zephir - Syslog logging is not working properly: Unable to configure handler u'syslog': [Errno 2] No such file or directory
zephir - Vous devez peut-être démarrer ou redémarrer systemd-journald
Associated revisions
Upgrade-Auto : le certificat SSL de Zéphir doit être valide avant l'Upgrade
ref #20804
Le port utiliser pour obtenir le certificat SSL Zéphir était incorrect
ref #20804
Le test de validation du certificat SSL de Zéphir ne gérait pas les multiples AltName
ref #20804
History
#1 Updated by Fabrice Barconnière almost 6 years ago
Pour récupérer le certificat : ex +'g/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect zephir.ac-test.fr:443 2>&1) -scq > zephir.pem
Pour vérifier le certificat : openssl verify -untrusted zephir.pem zephir.pem
#2 Updated by Scrum Master almost 6 years ago
- Status changed from Nouveau to En cours
#3 Updated by Scrum Master almost 6 years ago
- Assigned To set to Fabrice Barconnière
#4 Updated by Fabrice Barconnière almost 6 years ago
Un autre problème :
Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir.
#5 Updated by Fabrice Barconnière almost 6 years ago
- % Done changed from 0 to 50
- Remaining (hours) changed from 3.0 to 1.5
#6 Updated by Fabrice Barconnière almost 6 years ago
- % Done changed from 50 to 100
- Remaining (hours) changed from 1.5 to 0.5
Pour tester il faut un Zéphir 2.6.1 avec conf et un aca.eolebase 2.5.2 instance-default à jour en candidate
- Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
- Lancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
- Relancer
enregistrement_zephiren utilisant l'adresse Zéphir zephir.ac-test.fr - Supprimer le répertoire
/tmp/Upgrade-Auto - Relancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
#7 Updated by Fabrice Barconnière almost 6 years ago
- Status changed from En cours to Résolu
#8 Updated by Fabrice Barconnière almost 6 years ago
- Status changed from Résolu to En cours
#9 Updated by Fabrice Barconnière almost 6 years ago
- % Done changed from 100 to 80
- Remaining (hours) changed from 0.5 to 1.0
Le port utilisé (443) pour récupérer le certificat n'est pas bon.
Par exemple, un scribe derrière un proxy Amon récupérera le certificat SSL d'AMon. Il faut utiliser le port 7080 qui n'est pas redirigé vers le proxy.
#10 Updated by Fabrice Barconnière almost 6 years ago
- Status changed from En cours to Résolu
- % Done changed from 80 to 100
- Remaining (hours) changed from 1.0 to 0.5
#11 Updated by Gérald Schwartzmann almost 6 years ago
- Remaining (hours) changed from 0.5 to 0.0
#12 Updated by Gérald Schwartzmann almost 6 years ago
** le numéro attribué à ce serveur sur le serveur Zéphir est : 700 **
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
Upgrade impossible :
Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir
Upgrade impossible :
Certificat de Zéphir non validé !
utiliser sur Zéphir un certificat signé par une autorité reconnue,
ou
Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
/usr/local/share/ca-certificates et lancer update-ca-certificates.
root@eolebase:~#
root@eolebase:~# Upgrade-Auto --limit-rate 0 Upgrade-Auto est actuellement en version bêta. Voulez-vous continuez malgré tout ? [oui/non] [non] : oui Ce script va effectuer la migration vers une nouvelle version de la distribution Les modifications ne sont pas réversibles zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà Le répertoire /tmp/Upgrade-Auto existe déjà root@eolebase:~#
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
Upgrade impossible :
Certificat de Zéphir non validé !
utiliser sur Zéphir un certificat signé par une autorité reconnue,
ou
Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
/usr/local/share/ca-certificates et lancer update-ca-certificates.
root@eolebase:~#
Aucun signe de traceback
root@eolebase:~# scp zephir.ac-test.fr:/etc/ssl/certs/ca_local.crt /usr/local/share/ca-certificates Warning: Permanently added 'zephir.ac-test.fr,192.168.0.20' (ECDSA) to the list of known hosts. root@zephir.ac-test.fr's password: ca_local.crt 100% 1736 1.7KB/s 00:00 root@eolebase:~# update-ca-certificates Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate ACInfraEducation.pem WARNING: Skipping duplicate certificate ACInfraEducation.pem WARNING: Skipping duplicate certificate ca.crt WARNING: Skipping duplicate certificate ca.crt WARNING: Skipping duplicate certificate eole.pem WARNING: Skipping duplicate certificate eole.pem 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d....done. root@eolebase:~#
Running hooks in /etc/ca-certificates/update.d....done.
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà
Le répertoire /tmp/Upgrade-Auto existe déjà
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification de l'état de mise à jour
--------------------------------------------------------------------------------
Action update pour root [/]
z_stats: unrecognized service Cette fonctionnalité nécessite un compte ayant les permissions suivantes dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) : - Lecture - Actions sur les clients (avec ou sans modification de configuration) ou enregistrement - Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules)) Entrez votre login zephir (rien pour sortir) : admin_zephir Mot de passe zephir pour admin_zephir : Attention ! La configuration de migration n'a pas été préparée sur le serveur Zéphir Veuillez sélectionner une variante parmi celles proposées : ** liste des variantes de ce module ** 91 * standard variante (91 par défaut):
#13 Updated by Gérald Schwartzmann almost 6 years ago
Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir. → C'est toujours le cas.
#14 Updated by Gérald Schwartzmann almost 6 years ago
- Status changed from Résolu to Fermé
#15 Updated by Fabrice Barconnière almost 6 years ago
- Status changed from Fermé to En cours
#16 Updated by Fabrice Barconnière almost 6 years ago
- % Done changed from 100 to 80
- Remaining (hours) changed from 0.0 to 1.5
Le script ne gère pas les Subject Alt names multiples
#17 Updated by Fabrice Barconnière almost 6 years ago
- Status changed from En cours to Résolu
- % Done changed from 80 to 100
- Remaining (hours) changed from 1.5 to 0.5
Pour vérifier les AltName multiples :
- aca.Zéphir 2.6.1 avec conf
- aca.eolebase instance-default 2.5.2 à jour en candidate
- Se connecter en ssh sur Zéphir
CreoleSet ssl_subjectaltname """zephir.ac-test.fr> zephir3.ac-test.fr"""CreoleCat -t certif-eole.conf/usr/share/creole/gen_certif.py -f
- Se connecter en ssh sur Eolebase
- Vérifier qu'il est à jour en candidate
- Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
- Lancer
Upgrade-Auto --limit-rate 0-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Relancer "enregistrement_zephir" en utilisant le nom DNS "zephir3.ac-test.fr" ou "zephir1.ac-test.fr" comme adresse de Zéphir Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
enregistrement_zephir en utilisant l'adresse Zéphir zephir.ac-test.fr
- Supprimer le répertoire
/tmp/Upgrade-Auto - Relancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
#18 Updated by Gérald Schwartzmann almost 6 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.5 to 0.0