Projet

Général

Profil

Tâche #25568

Scénario #25247: StrongSwan n’arrive pas à déchivrer la clef privée du roadwarrior

Étudier le problème de déchiffrement de la clé privée par strongSwan

Ajouté par Fabrice Barconnière il y a plus de 5 ans. Mis à jour il y a plus de 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
sprint 2018 41-43 Equipe MENSR
Début:
27/08/2018
Echéance:
% réalisé:

100%

Temps estimé:
6.00 h
Temps passé:
7.00 h
Restant à faire (heures):
0.0

Description

root@eolebase:~# ipsec rereadall
Private key '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' is encrypted.
Passphrase:
Passphrase invalid!
Private key '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' is encrypted.


2018-10-16T08:31:14.247489+02:00 eolebase.ac-test.fr charon: 10[CFG] rereading secrets
2018-10-16T08:31:14.248748+02:00 eolebase.ac-test.fr charon: 10[CFG] loading secrets from '/etc/ipsec.secrets'
2018-10-16T08:31:16.752611+02:00 eolebase.ac-test.fr charon: 10[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 8 builders
2018-10-16T08:31:16.753422+02:00 eolebase.ac-test.fr charon: 10[CFG]   loading private key from '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' failed

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 5 ans

  • Description mis à jour (diff)

#2 Mis à jour par Fabrice Barconnière il y a plus de 5 ans

  • % réalisé changé de 0 à 30

Le problème est le même avec un eolebase 2.6.2 et 2.7.0.
L'origine du problème est la génération de la clé privée par Sphynx 2.7.0. La version de openssl (1.1.0) sur 2.7.0 est en cause.
J'ai installé openssl1.0 sur Sphynx 2.7.0 et fait générer la clé par /usr/lib/ssl1.0/openssl dans creole.cert.py, et là pas de problème.

Un rapport de bug est déjà présent : https://wiki.strongswan.org/issues/2574

Voir si on peut obtenir un patch à faire intégrer par Launchpad sur Bionic (voire également sur Xenial).

#3 Mis à jour par Scrum Master il y a plus de 5 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Fabrice Barconnière il y a plus de 5 ans

En fait, il s'agit d'un prérequis. La version de strongSwan doit être >= 5.6.3 sur les postes roadwarriors.
Voir comment modifier le test Squash SP-T02-005

#5 Mis à jour par Fabrice Barconnière il y a plus de 5 ans

  • % réalisé changé de 30 à 100
  • Restant à faire (heures) changé de 6.0 à 0.1

Test Squash SP-T02-005 adapté pour avoir une version 5.6.3 de strongSwan.
J'ai mis en place toute la conf ARV sans repasser toute la suite de test Sphynx.
J'ai repassé le test SP-T02-005 dans le bac à sable avec succès :
https://dev-eole.ac-dijon.fr/squash/executions/7967

#6 Mis à jour par Scrum Master il y a plus de 5 ans

  • Statut changé de En cours à Fermé
  • Restant à faire (heures) changé de 0.1 à 0.0

Formats disponibles : Atom PDF