Tâche #20804
Scénario #20668: Finaliser Upgrade-Auto de 2.5.2 vers 2.6.1 (suite)
Vérifier la validité du certificat SSL de Zéphir avant de commencer l'upgrade si le serveur est enregistré sur Zéphir et au moment d'enregistrer pour éviter le traceback.
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Description
Si le serveur est enregistré sur Zéphir, l'upgrade se termine avec un traceback :
z_stats: unrecognized service
Cette fonctionnalité nécessite un compte ayant les permissions suivantes
dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) :
- Lecture
- Actions sur les clients (avec ou sans modification de configuration) ou enregistrement
- Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules))
Entrez votre login zephir (rien pour sortir) : admin_zephir
Mot de passe zephir pour admin_zephir :
Traceback (most recent call last):
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 417, in <module>
res = upgrade()
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 134, in upgrade
authentified, data = get_pwd(adresse_zephir, 7080)
File "/usr/share/zephir/scripts/upgrade_distrib.py", line 353, in get_pwd
res = convert(proxy.get_permissions(user))
File "/usr/lib/python2.7/xmlrpclib.py", line 1243, in __call__
return self.__send(self.__name, args)
File "/usr/lib/python2.7/dist-packages/zephir/eolerpclib.py", line 99, in __request
verbose=self.__verbose
File "/usr/lib/python2.7/xmlrpclib.py", line 1283, in request
return self.single_request(host, handler, request_body, verbose)
File "/usr/lib/python2.7/xmlrpclib.py", line 1311, in single_request
self.send_content(h, request_body)
File "/usr/lib/python2.7/xmlrpclib.py", line 1459, in send_content
connection.endheaders(request_body)
File "/usr/lib/python2.7/httplib.py", line 1053, in endheaders
self._send_output(message_body)
File "/usr/lib/python2.7/httplib.py", line 897, in _send_output
self.send(msg)
File "/usr/lib/python2.7/httplib.py", line 859, in send
self.connect()
File "/usr/lib/python2.7/httplib.py", line 1278, in connect
server_hostname=server_hostname)
File "/usr/lib/python2.7/ssl.py", line 353, in wrap_socket
_context=self)
File "/usr/lib/python2.7/ssl.py", line 601, in __init__
self.do_handshake()
File "/usr/lib/python2.7/ssl.py", line 830, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
zephir - Syslog logging is not working properly: Unable to configure handler u'syslog': [Errno 2] No such file or directory
zephir - Vous devez peut-être démarrer ou redémarrer systemd-journald
Révisions associées
Upgrade-Auto : le certificat SSL de Zéphir doit être valide avant l'Upgrade
ref #20804
Le port utiliser pour obtenir le certificat SSL Zéphir était incorrect
ref #20804
Le test de validation du certificat SSL de Zéphir ne gérait pas les multiples AltName
ref #20804
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 7 ans
Pour récupérer le certificat : ex +'g/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect zephir.ac-test.fr:443 2>&1) -scq > zephir.pem
Pour vérifier le certificat : openssl verify -untrusted zephir.pem zephir.pem
#2 Mis à jour par Scrum Master il y a presque 7 ans
- Statut changé de Nouveau à En cours
#3 Mis à jour par Scrum Master il y a presque 7 ans
- Assigné à mis à Fabrice Barconnière
#4 Mis à jour par Fabrice Barconnière il y a presque 7 ans
Un autre problème :
Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir.
#5 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- % réalisé changé de 0 à 50
- Restant à faire (heures) changé de 3.0 à 1.5
#6 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- % réalisé changé de 50 à 100
- Restant à faire (heures) changé de 1.5 à 0.5
Pour tester il faut un Zéphir 2.6.1 avec conf et un aca.eolebase 2.5.2 instance-default à jour en candidate
- Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
- Lancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
- Relancer
enregistrement_zephiren utilisant l'adresse Zéphir zephir.ac-test.fr - Supprimer le répertoire
/tmp/Upgrade-Auto - Relancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
#7 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- Statut changé de En cours à Résolu
#8 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- Statut changé de Résolu à En cours
#9 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- % réalisé changé de 100 à 80
- Restant à faire (heures) changé de 0.5 à 1.0
Le port utilisé (443) pour récupérer le certificat n'est pas bon.
Par exemple, un scribe derrière un proxy Amon récupérera le certificat SSL d'AMon. Il faut utiliser le port 7080 qui n'est pas redirigé vers le proxy.
#10 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 80 à 100
- Restant à faire (heures) changé de 1.0 à 0.5
#11 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Restant à faire (heures) changé de 0.5 à 0.0
#12 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
** le numéro attribué à ce serveur sur le serveur Zéphir est : 700 **
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
Upgrade impossible :
Relancer 'enregistrement_zephir' en utilisant le nom DNS 'zephir.ac-test.fr' comme adresse de Zéphir
Upgrade impossible :
Certificat de Zéphir non validé !
utiliser sur Zéphir un certificat signé par une autorité reconnue,
ou
Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
/usr/local/share/ca-certificates et lancer update-ca-certificates.
root@eolebase:~#
root@eolebase:~# Upgrade-Auto --limit-rate 0 Upgrade-Auto est actuellement en version bêta. Voulez-vous continuez malgré tout ? [oui/non] [non] : oui Ce script va effectuer la migration vers une nouvelle version de la distribution Les modifications ne sont pas réversibles zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà Le répertoire /tmp/Upgrade-Auto existe déjà root@eolebase:~#
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
Upgrade impossible :
Certificat de Zéphir non validé !
utiliser sur Zéphir un certificat signé par une autorité reconnue,
ou
Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
/usr/local/share/ca-certificates et lancer update-ca-certificates.
root@eolebase:~#
Aucun signe de traceback
root@eolebase:~# scp zephir.ac-test.fr:/etc/ssl/certs/ca_local.crt /usr/local/share/ca-certificates Warning: Permanently added 'zephir.ac-test.fr,192.168.0.20' (ECDSA) to the list of known hosts. root@zephir.ac-test.fr's password: ca_local.crt 100% 1736 1.7KB/s 00:00 root@eolebase:~# update-ca-certificates Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate ACInfraEducation.pem WARNING: Skipping duplicate certificate ACInfraEducation.pem WARNING: Skipping duplicate certificate ca.crt WARNING: Skipping duplicate certificate ca.crt WARNING: Skipping duplicate certificate eole.pem WARNING: Skipping duplicate certificate eole.pem 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d....done. root@eolebase:~#
Running hooks in /etc/ca-certificates/update.d....done.
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
zephir - UPGRADE => ERR : Le répertoire /tmp/Upgrade-Auto existe déjà
Le répertoire /tmp/Upgrade-Auto existe déjà
root@eolebase:~# rm -rf /tmp/Upgrade-Auto
root@eolebase:~# Upgrade-Auto --limit-rate 0
Upgrade-Auto est actuellement en version bêta.
Voulez-vous continuez malgré tout ? [oui/non]
[non] : oui
Ce script va effectuer la migration vers une nouvelle version de la distribution
Les modifications ne sont pas réversibles
--------------------------------------------------------------------------------
Copie des scripts de migration
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification du système
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Vérification de l'état de mise à jour
--------------------------------------------------------------------------------
Action update pour root [/]
z_stats: unrecognized service Cette fonctionnalité nécessite un compte ayant les permissions suivantes dans l'application Zéphir gérant ce serveur (zephir.ac-test.fr) : - Lecture - Actions sur les clients (avec ou sans modification de configuration) ou enregistrement - Ecriture sur les serveurs et les modules (ou Migration de serveur + Ecriture (modules)) Entrez votre login zephir (rien pour sortir) : admin_zephir Mot de passe zephir pour admin_zephir : Attention ! La configuration de migration n'a pas été préparée sur le serveur Zéphir Veuillez sélectionner une variante parmi celles proposées : ** liste des variantes de ce module ** 91 * standard variante (91 par défaut):
#13 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
Le serveur 2.5.2 ne doit pas être enregistré sur Zéphir avec l'adresse IP de Zéphir. Il faudra relancer enregistrement_zephir en utilisant le nom DNS de Zéphir. → C'est toujours le cas.
#14 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Statut changé de Résolu à Fermé
#15 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- Statut changé de Fermé à En cours
#16 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- % réalisé changé de 100 à 80
- Restant à faire (heures) changé de 0.0 à 1.5
Le script ne gère pas les Subject Alt names multiples
#17 Mis à jour par Fabrice Barconnière il y a presque 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 80 à 100
- Restant à faire (heures) changé de 1.5 à 0.5
Pour vérifier les AltName multiples :
- aca.Zéphir 2.6.1 avec conf
- aca.eolebase instance-default 2.5.2 à jour en candidate
- Se connecter en ssh sur Zéphir
CreoleSet ssl_subjectaltname """zephir.ac-test.fr> zephir3.ac-test.fr"""CreoleCat -t certif-eole.conf/usr/share/creole/gen_certif.py -f
- Se connecter en ssh sur Eolebase
- Vérifier qu'il est à jour en candidate
- Enregistrer le serveur eolebase sur Zéphir en utilisant l'adresse Zéphir 192.168.0.20
- Lancer
Upgrade-Auto --limit-rate 0-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Relancer "enregistrement_zephir" en utilisant le nom DNS "zephir3.ac-test.fr" ou "zephir1.ac-test.fr" comme adresse de Zéphir Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
enregistrement_zephir en utilisant l'adresse Zéphir zephir.ac-test.fr
- Supprimer le répertoire
/tmp/Upgrade-Auto - Relancer
Upgrade-Auto --limit-rate 0- La procédure s'arrête :
-------------------------------------------------------------------------------- Vérification du système -------------------------------------------------------------------------------- Upgrade impossible : Certificat de Zéphir non validé ! utiliser sur Zéphir un certificat signé par une autorité reconnue, ou Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans /usr/local/share/ca-certificates et lancer update-ca-certificates.
- La procédure s'arrête :
#18 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0