Tâche #23850
Scénario #31521: Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1
re-tester mise en place certificats Let's Encrypt en mode conteneur
100%
Description
Sur Amonecoleeclair 2.6.2, la demande des certificats est bien établie, ils sont obtenus mais le diagnose signale (pour "Validité du certificat" et "Certificats sso") : eole.crt => erreur : unable to get local issuer certificate
Dans gen_config : l'erreur n'apparaît plus au diagnose pour "Certificats sso" si l'on renseigne les chemins et le répertoire de la conf LE
Dans le navigateur : il faut accepter le certificat manuellement, il est estampillé LE
- Roundcube devient inutilisable : on accède à l'interface mais on ne peut pas envoyer de message (erreur 220 auth failed)
- sur les clients légers c'est ok mais pas de suite et pas pour tous sur certains postes windows (hors domaine)
- un test avec un utilisateur administratif non admin est négatif (avertissement du navigateur)
- les logs sso avertissent que l'ip de la carte côté Internet ne fait pas partie des sujets alternatifs du certificat, de procéder à la suppression de eole.crt + reconfigure (ce qui ne donne rien)
Révisions associées
arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)
arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)
arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Lié à Tâche #23543: Let's Encrypt et diagnose ajouté
#2 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Tâche parente mis à #31521
#3 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Lié à Tâche #23543: Let's Encrypt et diagnose supprimé
#4 Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
- Statut changé de Nouveau à En cours
#5 Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
Une partie du problème vient du fait qu'il faut que eole-sso doit être capable de valider le certificat. Ce qui n'était pas le cas automatiquement (enfin par sur les tests que j'ai effectué).
Il fallait copier les CA à la main dans /etc/ssl/local_ca et faire reconfigure.
EoleSSO n'étant pas fonctionnel sur le port 443 et le port 8443 n'étant pas accessible depuis l'extérieur (a priori le firewall du rectorat ne laisse passer que le port 80 et 443) je ne peux pas faire plus de test.
#6 Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
- Assigné à mis à Emmanuel GARETTE
#7 Mis à jour par Christophe De Natale il y a plus de 3 ans
Emmanuel GARETTE a écrit :
Il fallait copier les CA à la main dans /etc/ssl/local_ca et faire reconfigure.
Quels CA faut-il copier svp ?
#8 Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
Bonjour,
Les certificats Let's encrypt sont dans /usr/share/ca-certificates/letsencrypt/. Mais attention, je viens juste de mettre à jour les CA (elles ont été mises à jour récemment). Il est possible que cela ne suffise pas pour le moment.
Après correction et mise à jour tout devrait être fait automatiquement.
Cordialement,
#9 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
Après mise à jour en candidat et copie des certificats à la main (voir #31561) c'est ok pour moi.
#10 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0