Projet

Général

Profil

Tâche #22253

Scénario #22216: Traitement express MEN (49-51)

une configuration ssl correcte en 2.6.1 ne l'est plus en 2.6.2

Ajouté par Thierry Bertrand il y a plus de 6 ans. Mis à jour il y a plus de 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Début:
26/09/2017
Echéance:
% réalisé:

100%

Temps estimé:
3.00 h
Temps passé:
Restant à faire (heures):
0.0

certifZ01.png Voir (12,3 ko) Thierry Bertrand, 30/11/2017 11:49

certifZ02.png Voir (52,3 ko) Thierry Bertrand, 30/11/2017 11:50

certifZ03.png Voir (45,1 ko) Thierry Bertrand, 30/11/2017 11:50

Historique

#1 Mis à jour par Thierry Bertrand il y a plus de 6 ans

je pars d'un zephir 2.6.1 possédant un certificat signé par notre IGC ants.

Depuis un navigateur, tout est ok et fonctionnel, cf les images jointes.

A partir de là, j'exécute les commandes suivantes :

root@zephir-dev:~# Maj-Auto -D -S test-eole.ac-dijon.fr -U test-eole.ac-dijon.fr

Mise à jour OK
Maj-Auto - Un ou plusieurs paquets ont été mis à jour, utilisez la commande [reconfigure] pour que les modifications soient prises en compte.

Dès que la mise à jour est terminée et avant même de faire un reconfigure, le navigateur ne valide plus le certificat du serveur :

Votre connexion n'est pas privée

Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site zephir-01.eole.e2.rie.gouv.fr (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus
NET::ERR_CERT_AUTHORITY_INVALID

#2 Mis à jour par Thierry Bertrand il y a plus de 6 ans

Retour en 2.6.1.

root@zephir-dev:~# CreoleGet eole_release
2.6.1

root@zephir-dev:~# openssl s_client -connect zephir-01.eole.e2.rie.gouv.fr:443
CONNECTED(00000003)
depth=2 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Racine ANTS/A V3, serialNumber = 1
verify return:1
depth=1 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Services Applicatifs, serialNumber = 1
verify return:1
depth=0 C = FR, O = Secteur public Developpement durable Logement et Transports, OU = 0002 130019540, CN = zephir-01.eole.e2.rie.gouv.fr
verify return:1
---
Certificate chain
 0 s:/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
 1 s:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Racine ANTS/A V3/serialNumber=1
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
issuer=/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3630 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 6DB310BCE9B4F216B653E606EE7B1BAFC38B9E2B3C30F8862D3D693DDD806CDA
    Session-ID-ctx: 
    Master-Key: 98A75D6AAB1BD2D638AA8EA560127780B0566F296BA483599FB36634512334C5DD88EC8896611E5C94F71B1B8B742CC6
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 85 4e 96 75 90 d6 7b 3c-ff 65 5b 39 25 86 01 71   .N.u..{<.e[9%..q
    0010 - ea 1d 2a b2 43 86 15 59-db 13 17 f0 c9 fd cb 36   ..*.C..Y.......6
    0020 - 00 f0 ee 10 58 bc 27 80-5b 06 89 20 f6 ff 6b 3d   ....X.'.[.. ..k=
    0030 - 79 68 cf f6 b8 1e cd 72-6b 00 c7 38 6e 59 04 54   yh.....rk..8nY.T
    0040 - 6d f4 78 ca 2e 94 32 53-84 83 81 32 a0 d5 9c 1f   m.x...2S...2....
    0050 - ca 51 ab df 58 ef fe 90-9b 60 94 fe 6e 0a 49 e1   .Q..X....`..n.I.
    0060 - 3a 30 f0 3a c8 22 53 0c-db 2d c2 56 d7 82 bb 79   :0.:."S..-.V...y
    0070 - 5d a8 e8 11 51 d8 06 33-b6 9f 7a ed f3 5b 74 b0   ]...Q..3..z..[t.
    0080 - 34 1d de d1 cc d8 d9 4c-8e dc 9b 0d a6 76 b9 f2   4......L.....v..
    0090 - 61 3c 45 49 86 99 13 b2-77 a7 27 c0 ec 17 6d 6d   a<EI....w.'...mm
    00a0 - 00 20 b8 a6 19 31 d2 a3-f8 51 6b 48 f0 93 6c 82   . ...1...QkH..l.

    Start Time: 1512039734
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
root@zephir-dev:~# openssl verify -verbose -CAfile /etc/ssl/certs/ca.crt $(CreoleGet server_cert)
/etc/ssl/certs/zephir-01.crt: OK

#3 Mis à jour par Thierry Bertrand il y a plus de 6 ans

Toujours en 2.6.1 mais en mettant le serveur à jour :

root@zephir-dev:~# Query-Auto
Mise à jour le jeudi 30 novembre 2017 12:05:34
*** zephir 2.6.1 (PNESR-DEV) ***

Mise à jour OK
Maj-Auto - Un ou plusieurs paquets ont été mis à jour, utilisez la commande [reconfigure] pour que les modifications soient prises en compte.

Puis vérification des commandes openssl :

root@zephir-dev:~# openssl s_client -connect zephir-01.eole.e2.rie.gouv.fr:443
CONNECTED(00000003)
depth=2 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Racine ANTS/A V3, serialNumber = 1
verify return:1
depth=1 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Services Applicatifs, serialNumber = 1
verify return:1
depth=0 C = FR, O = Secteur public Developpement durable Logement et Transports, OU = 0002 130019540, CN = zephir-01.eole.e2.rie.gouv.fr
verify return:1
---
Certificate chain
 0 s:/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
 1 s:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Racine ANTS/A V3/serialNumber=1
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
issuer=/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3630 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: CF619775D06FA7047182C6F6646C6C8B3A8FAA23B8778C651E6B43233AF1B377
    Session-ID-ctx: 
    Master-Key: 2C7268C8E8FAA08631EAD0DD9496E0227DECFECBACFF0283B45D91B60F5C426E1C775310C38D10B2D1AC08B33EC39749
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 85 4e 96 75 90 d6 7b 3c-ff 65 5b 39 25 86 01 71   .N.u..{<.e[9%..q
    0010 - 28 a6 e4 8e b0 20 d0 f0-6e e1 e0 67 05 62 43 31   (.... ..n..g.bC1
    0020 - 18 04 db 17 24 ab cd 5b-69 97 37 fb fe 9c 55 0c   ....$..[i.7...U.
    0030 - dd 25 f5 ad 23 80 d5 9b-52 c3 49 39 d6 f3 3a e8   .%..#...R.I9..:.
    0040 - 51 4a 09 96 ce 68 44 31-30 91 85 a8 14 c5 af 38   QJ...hD10......8
    0050 - fa f3 f3 5a 68 b1 37 6e-66 ce fc 47 7a 93 8d bb   ...Zh.7nf..Gz...
    0060 - 9b 68 70 ad 2b a6 3c 76-12 9e 3c c3 37 2c 82 65   .hp.+.<v..<.7,.e
    0070 - 2b b1 2a 01 06 34 88 4f-75 33 bd 0d 61 d1 a8 10   +.*..4.Ou3..a...
    0080 - e1 4b 4c 72 98 7e d4 e1-90 f2 99 4f 14 63 87 c4   .KLr.~.....O.c..
    0090 - e7 87 95 ad f6 95 02 e9-0e 49 fb 0a 3b bb f3 85   .........I..;...
    00a0 - 2e 13 c9 02 f4 29 db 72-6f 00 70 be 8c 6f e2 ce   .....).ro.p..o..

    Start Time: 1512040102
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

read:errno=0
root@zephir-dev:~# openssl verify -verbose -CAfile /etc/ssl/certs/ca.crt $(CreoleGet server_cert)
/etc/ssl/certs/zephir-01.crt: OK

#4 Mis à jour par Thierry Bertrand il y a plus de 6 ans

On passe le serveur en RC pour récupérer Maj-Release.
Puis on effecture le Maj-Release :

root@zephir-dev:~# Maj-Release 
Ce script va effectuer la migration vers une nouvelle version mineure de la distribution
1: 2.6.2
q|quit : abandonner
[1] : 1
Mise à jour le jeudi 30 novembre 2017 14:19:46
*** zephir 2.6.2 (PNESR-DEV) ***

Maj-Auto - (CHANGEMENT DU NIVEAU DE VERSION MINEURE) - Augmenter le niveau de mise à jour peut empêcher de revenir au niveau de mise à jour stable.
Voulez-vous continuer ? [oui/non]
[non] : oui

Pas d'enregistrement dans une base Zéphir détecté.                                                                                                                                                                                         

Mise à jour des fichiers de configuration                                                                                                                                                                                                    
* Fichier /etc/eole/config.eol mis à niveau                                                                                                                                                                                                  
* Configuration extra reconfigure mise à niveau                                                                                                                                                                                              
* Configuration extra majlist mise à niveau                                                                                                                                                                                                  
* Configuration extra schedule mise à niveau                                                                                                                                                                                                 
* Configuration extra majreport mise à niveau                                                                                                                                                                                                
* Configuration extra manageservices mise à niveau                                                                                                                                                                                           
* Configuration extra reboot mise à niveau                                                                                                                                                                                                   
* Configuration extra scheduleonce mise à niveau                                                                                                                                                                                             
* Configuration extra shutdown mise à niveau                                                                                                                                                                                                 
* Configuration extra majonce mise à niveau                                                                                                                                                                                                  
* Configuration extra fileserver mise à niveau                                                                                                                                                                                               

Pour finaliser la procédure, veuillez :

- exécuter la commande 'reconfigure'                                                                                                                                                                                                         
Upgrade post Maj-Release, please wait

Commandes de vérification openssl :

root@zephir-dev:~# openssl s_client -connect zephir-01.eole.e2.rie.gouv.fr:443
CONNECTED(00000003)
depth=2 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Racine ANTS/A V3, serialNumber = 1
verify return:1
depth=1 C = FR, O = Agence Nationale des Titres S\C3\A9curis\C3\A9s, OU = 0002 130003262, CN = Autorit\C3\A9 de Certification Services Applicatifs, serialNumber = 1
verify return:1
depth=0 C = FR, O = Secteur public Developpement durable Logement et Transports, OU = 0002 130019540, CN = zephir-01.eole.e2.rie.gouv.fr
verify return:1
---
Certificate chain
 0 s:/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
 1 s:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
   i:/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Racine ANTS/A V3/serialNumber=1
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFbzCCBFegAwIBAgISESGHeB2MkZK7T5BvnHmmkmm4MA0GCSqGSIb3DQEBCwUA
MIGeMQswCQYDVQQGEwJGUjEwMC4GA1UECgwnQWdlbmNlIE5hdGlvbmFsZSBkZXMg
VGl0cmVzIFPDqWN1cmlzw6lzMRcwFQYDVQQLDA4wMDAyIDEzMDAwMzI2MjE4MDYG
A1UEAwwvQXV0b3JpdMOpIGRlIENlcnRpZmljYXRpb24gU2VydmljZXMgQXBwbGlj
YXRpZnMxCjAIBgNVBAUTATEwHhcNMTYwNTI1MTUyMDI5WhcNMTkwNTI1MTUyMDI5
WjCBlDELMAkGA1UEBhMCRlIxRDBCBgNVBAoMO1NlY3RldXIgcHVibGljIERldmVs
b3BwZW1lbnQgZHVyYWJsZSBMb2dlbWVudCBldCBUcmFuc3BvcnRzMRcwFQYDVQQL
DA4wMDAyIDEzMDAxOTU0MDEmMCQGA1UEAwwdemVwaGlyLTAxLmVvbGUuZTIucmll
LmdvdXYuZnIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDA4ft9QVtO
a4puDlEDOy+jYDu0rRwNCiw9lUhl/OJq1xoUCnHgYI51NR31TuBJCZiXLn/jnlVp
ELiBT/xifF4xLKCh6xq1aVEH1i9AZyV85tMFxJ5J/pbMrX605cpso5mw1A94J2Sf
FtlsNsLIYAtYMXlLfLPB6lN057QKQp6EQN6khGVIWcnbU9v2UO30lrxhzjS5NwZ7
jpkaR9yAt+GGvZ/qKEbDvA1u4TynPHC2GTogYk81y7uGT/q6R0d085ZN2HoungCj
67tE+iyJtMaHlEKBTaowsZivV/I6ytPYbUZghtC6Jum+mY0J0B8xw4jHgdww32uo
zqpJ0hnZ1G/hAgMBAAGjggGtMIIBqTAJBgNVHRMEAjAAMBgGA1UdIAQRMA8wDQYL
KoF6AYFIAwMHAQEwTgYDVR0fBEcwRTBDoEGgP4Y9aHR0cDovL2NybC5hbnRzLmdv
dXYuZnIvYW50c2F2My9hY19zZXJ2aWNlc19hcHBsaWNhdGlmc18xLmNybDCBogYI
KwYBBQUHAQEEgZUwgZIwRgYIKwYBBQUHMAGGOmh0dHA6Ly9vY3NwLmFudHMuZ291
di5mci9hbnRzYXYzL2FjX3NlcnZpY2VzX2FwcGxpY2F0aWZzXzEwSAYIKwYBBQUH
MAKGPGh0dHA6Ly9zcC5hbnRzLmdvdXYuZnIvYW50c2F2My9hY19zZXJ2aWNlc19h
cHBsaWNhdGlmc18xLmNlcjAOBgNVHQ8BAf8EBAMCBaAwEwYDVR0lBAwwCgYIKwYB
BQUHAwEwKAYDVR0RBCEwH4IdemVwaGlyLTAxLmVvbGUuZTIucmllLmdvdXYuZnIw
HQYDVR0OBBYEFPMBrTS4n3iSoDeLuWSJDURey6MFMB8GA1UdIwQYMBaAFDOfu88f
PRla1yh5qEr9Y3y/ADIvMA0GCSqGSIb3DQEBCwUAA4IBAQB9jsy+AlqfkvDqqPph
jNrPOa1fQjsmMf7FGlhLhzgQCsTTZfkjwZCm28tyHoUYDMkBurFkXt7MBF09crr/
UJCtIUasa4uVNxvfV32D1Q7d1K3J7d0SE+OItNG2K5hVZvq3GI8Dx0sqErrJkhrd
LjEg2w5WFz93OqaU1aAJ5q7+GeSbU/9Dz5SwhzdcuZBaWGG8zyaJIWpZZMjOjs+M
sl1GdC9JrI6QNy/3nN85auLqVNIY7ZntF4Uk/x9CNEiHugF8luuFvLx86vVBdyNP
wIcC3+sX22ZoOtgLPJrJdKU4VxfI3ug6QV650OLNO6FyPjj2mtNG3vl/R77ubKQA
sRms
-----END CERTIFICATE-----
subject=/C=FR/O=Secteur public Developpement durable Logement et Transports/OU=0002 130019540/CN=zephir-01.eole.e2.rie.gouv.fr
issuer=/C=FR/O=Agence Nationale des Titres S\xC3\xA9curis\xC3\xA9s/OU=0002 130003262/CN=Autorit\xC3\xA9 de Certification Services Applicatifs/serialNumber=1
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3630 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: CAADA91958B1677CD06BB4B81E841318102B9944E3E13925129D6B10A483D43D
    Session-ID-ctx: 
    Master-Key: ED3CF74D4AD9A72A04CD783A2B8178E39AA895BB4381B289F8FC27245A6B845D5176E891D9EB64F17C0F20262835DBDB
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 53 2f b5 f6 3a 9c 91 8d-5e 11 d7 60 69 0d e3 58   S/..:...^..`i..X
    0010 - de f9 6e bd b9 77 f4 c0-bb 92 66 0a c9 16 ab 10   ..n..w....f.....
    0020 - b7 98 f9 fa 50 5b 5b e3-a6 1f ed bb 39 43 0c df   ....P[[.....9C..
    0030 - c7 2b 57 5c 8d 3a 44 23-86 9a cd f3 ad 47 e7 bf   .+W\.:D#.....G..
    0040 - f9 97 44 67 4a cc 2f 1e-c5 1e f6 22 38 91 d6 3b   ..DgJ./...."8..;
    0050 - b9 8c c3 ab 16 92 92 86-d7 4d 88 6b ac 00 c8 b7   .........M.k....
    0060 - db 66 f4 6f 7b 4d bf 1f-b2 c7 49 2a f5 f1 c6 49   .f.o{M....I*...I
    0070 - ec 76 ac d6 1c 0c 82 2d-77 f3 11 d1 18 9c a5 40   .v.....-w......@
    0080 - 02 ea 14 47 c9 57 c7 c1-1c 0d 15 8f ac 14 4b fd   ...G.W........K.
    0090 - 10 cc f3 9d 4a 0e c4 2d-5f 74 b3 cd c3 08 b2 5b   ....J..-_t.....[
    00a0 - 0c a2 b3 37 1d fa cf b1-70 f6 30 7c 60 e8 4f 75   ...7....p.0|`.Ou

    Start Time: 1512048200
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
closed
root@zephir-dev:~# openssl verify -verbose -CAfile /etc/ssl/certs/ca.crt $(CreoleGet server_cert)
/etc/ssl/certs/eole.crt: OK

Via le navigateur, le certificat n'est plus valide.

#5 Mis à jour par Thierry Bertrand il y a plus de 6 ans

il semblerait que Maj-Release ait un pb d'upgrade sur la variable cert_type
La valeur était passée à autosigné.

#6 Mis à jour par Gérald Schwartzmann il y a plus de 6 ans

  • Temps estimé mis à 0.00 h
  • Restant à faire (heures) mis à 0.0

#7 Mis à jour par Joël Cuissinat il y a plus de 6 ans

  • Temps estimé changé de 0.00 h à 3.00 h
  • Tâche parente changé de #21866 à #22216

#8 Mis à jour par Thierry Bertrand il y a plus de 6 ans

Au final :

depuis un zephir 2.6.1
si on passe par Maj-Release, cert_type passe à autosigné
si on passe par Maj-Auto -D, cert_type est ok mais la conf nécessite d'être "convertie" en 2.6.2
Les deux méthodes échouent mais pas pour les mêmes raisons.

#9 Mis à jour par Thierry Bertrand il y a plus de 6 ans

En utilisant la commande de mise à jour suivante (en attendant la sortie de la 2.6.2/stable) :
Maj-Auto --release=2.6.2 -D -S test-eole.ac-dijon.fr -U test-eole.ac-dijon.fr

La mise à jour se fait correctement :

root@zephir-dev:~# CreoleGet cert_type
manuel
root@zephir-dev:~# dpkg -l|grep creole
ii  creole                              2.6.2-59                                   all          gestion de configuration Creole

#10 Mis à jour par Thierry Bertrand il y a plus de 6 ans

  • Statut changé de Nouveau à Fermé
  • % réalisé changé de 0 à 100

Formats disponibles : Atom PDF