Project

General

Profile

Tâche #23850

Scénario #31521: Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1

re-tester mise en place certificats Let's Encrypt en mode conteneur

Added by Christophe De Natale about 3 years ago. Updated 3 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
05/07/2018
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Sur Amonecoleeclair 2.6.2, la demande des certificats est bien établie, ils sont obtenus mais le diagnose signale (pour "Validité du certificat" et "Certificats sso") : eole.crt => erreur : unable to get local issuer certificate

Dans gen_config : l'erreur n'apparaît plus au diagnose pour "Certificats sso" si l'on renseigne les chemins et le répertoire de la conf LE
Dans le navigateur : il faut accepter le certificat manuellement, il est estampillé LE

Si l'on copie l'ensemble des certificats se trouvant dans la conf LE vers chaque répertoire /etc/ssl/certs, que l'on supprime le eole.crt + reconfigure (avec chemins par défaut gen_config), cela fonctionne mais mal car :
  • Roundcube devient inutilisable : on accède à l'interface mais on ne peut pas envoyer de message (erreur 220 auth failed)
  • sur les clients légers c'est ok mais pas de suite et pas pour tous sur certains postes windows (hors domaine)
  • un test avec un utilisateur administratif non admin est négatif (avertissement du navigateur)
  • les logs sso avertissent que l'ip de la carte côté Internet ne fait pas partie des sujets alternatifs du certificat, de procéder à la suppression de eole.crt + reconfigure (ce qui ne donne rien)

Associated revisions

Revision 0d590ebd (diff)
Added by Emmanuel GARETTE 4 months ago

arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)

Revision ed63cb3a (diff)
Added by Emmanuel GARETTE 4 months ago

arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)

Revision 982ae3c1 (diff)
Added by Emmanuel GARETTE 4 months ago

arrêt d'apache fonctionne + evite erreur reverse proxy sur AmonEcole (ref #23850)

History

#1 Updated by Joël Cuissinat over 1 year ago

#2 Updated by Joël Cuissinat 4 months ago

  • Parent task set to #31521

#3 Updated by Joël Cuissinat 4 months ago

#4 Updated by Emmanuel GARETTE 4 months ago

  • Status changed from Nouveau to En cours

#5 Updated by Emmanuel GARETTE 4 months ago

Une partie du problème vient du fait qu'il faut que eole-sso doit être capable de valider le certificat. Ce qui n'était pas le cas automatiquement (enfin par sur les tests que j'ai effectué).

Il fallait copier les CA à la main dans /etc/ssl/local_ca et faire reconfigure.

EoleSSO n'étant pas fonctionnel sur le port 443 et le port 8443 n'étant pas accessible depuis l'extérieur (a priori le firewall du rectorat ne laisse passer que le port 80 et 443) je ne peux pas faire plus de test.

#6 Updated by Emmanuel GARETTE 4 months ago

  • Assigned To set to Emmanuel GARETTE

#7 Updated by Christophe De Natale 4 months ago

Emmanuel GARETTE a écrit :

Il fallait copier les CA à la main dans /etc/ssl/local_ca et faire reconfigure.

Quels CA faut-il copier svp ?

#8 Updated by Emmanuel GARETTE 4 months ago

Bonjour,

Les certificats Let's encrypt sont dans /usr/share/ca-certificates/letsencrypt/. Mais attention, je viens juste de mettre à jour les CA (elles ont été mises à jour récemment). Il est possible que cela ne suffise pas pour le moment.

Après correction et mise à jour tout devrait être fait automatiquement.

Cordialement,

#9 Updated by Emmanuel GARETTE 4 months ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

Après mise à jour en candidat et copie des certificats à la main (voir #31561) c'est ok pour moi.

#10 Updated by Daniel Dehennin 3 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF