Projet

Général

Profil

Scénario #23694

EOLE 2.7.0 et certificats SSL : faire fonctionner les services qui ne démarrent plus suite à la génération par openssl des clés privées

Ajouté par Fabrice Barconnière il y a environ 6 ans. Mis à jour il y a plus de 4 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Catégorie:
-
Version cible:
sprint 2018 17-19 Equipe MENSR
Début:
21/03/2018
Echéance:
11/05/2018
% réalisé:

100%

Temps estimé:
(Total: 34.00 h)
Temps passé:
(Total: 19.15 h)
Points de scénarios:
5.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.7.0
Liens avec la release:
Auto

Description

Problématique

Certains services ne démarrent plus avec les certificats EOLE autosignés.
openssl génère la clé privée avec les droits 0600 root:root
Le service ead-server est exécuté en nobody et ne peut donc pas lire la clé privée.
Idem pour slapd qui est exécuté en openldap.

Proposition

  • Générer la clé dans /etc/ssl/private
  • Chaque service utilisera une copie des fichiers EOLE d'origine en positionnant les bons droits

Critère d'acceptation

Tous les services utilisant les certificats autosignés EOLE démarrent
  • EAD
  • slapd
  • ...

Sous-tâches

Tâche #23389: slapd ne démarre pas à cause des certificatsFerméFabrice Barconnière

Tâche #23696: EAD server ne démarre pas à cause de la clé privée EOLEFerméFabrice Barconnière

Tâche #23719: Adapter le code commun de la génération des certificatsFerméFabrice Barconnière

Tâche #23722: Rsyslog tourne en syslog:adm.Il faut gérer les fichiers certificat et clé privée en cas d'envoi ou de réception de logs en tls.FerméFabrice Barconnière

Tâche #23725: Gérer les fichier certificat et clé privée pour apache qui tourne en www-dataFerméFabrice Barconnière

Tâche #23726: Gérer les fichiers certificats et clé privée pour nginx qui tourne en www-dataFerméFabrice Barconnière

Tâche #23797: Gérer l'upgrade sur le nouveau chemin de la clé privéeFerméFabrice Barconnière

Tâche #23798: Adaptations liées au mode conteneurFerméJoël Cuissinat

Tâche #23833: Le service zephir_web tourne en nobodyFerméFabrice Barconnière

Tâche #23843: Adapter le test unitaire existantFerméJoël Cuissinat

Demandes liées

Lié à Distribution EOLE - Tâche #25507: Ré-exécuter le test ZE-T02-004 Fermé 10/10/2018

Révisions associées

Révision c927c33e (diff)
Ajouté par Joël Cuissinat il y a plus de 5 ans

restauration.sh : déplacement de la clé privée vers /etc/ssl/private si nécessaire

Ref: #25507
Ref: #23694

Historique

#1 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Description mis à jour (diff)
  • Release mis à EOLE 2.7.0

#2 Mis à jour par Joël Cuissinat il y a environ 6 ans

  • Assigné à mis à Fabrice Barconnière

#3 Mis à jour par Joël Cuissinat il y a presque 6 ans

  • Statut changé de Nouveau à Terminé (Sprint)

#4 Mis à jour par Joël Cuissinat il y a plus de 5 ans

  • Lié à Tâche #25507: Ré-exécuter le test ZE-T02-004 ajouté

Formats disponibles : Atom PDF