Project

General

Profile

Tâche #25568

Scénario #25247: StrongSwan n’arrive pas à déchivrer la clef privée du roadwarrior

Étudier le problème de déchiffrement de la clé privée par strongSwan

Added by Fabrice Barconnière almost 2 years ago. Updated almost 2 years ago.

Status:
Fermé
Priority:
Normal
Start date:
08/27/2018
Due date:
% Done:

100%

Estimated time:
6.00 h
Spent time:
Remaining (hours):
0.0

Description

root@eolebase:~# ipsec rereadall
Private key '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' is encrypted.
Passphrase:
Passphrase invalid!
Private key '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' is encrypted.

2018-10-16T08:31:14.247489+02:00 eolebase.ac-test.fr charon: 10[CFG] rereading secrets
2018-10-16T08:31:14.248748+02:00 eolebase.ac-test.fr charon: 10[CFG] loading secrets from '/etc/ipsec.secrets'
2018-10-16T08:31:16.752611+02:00 eolebase.ac-test.fr charon: 10[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 8 builders
2018-10-16T08:31:16.753422+02:00 eolebase.ac-test.fr charon: 10[CFG]   loading private key from '/etc/ipsec.d/private/privrw5.ac-test.fr.pem' failed

History

#1 Updated by Fabrice Barconnière almost 2 years ago

  • Description updated (diff)

#2 Updated by Fabrice Barconnière almost 2 years ago

  • % Done changed from 0 to 30

Le problème est le même avec un eolebase 2.6.2 et 2.7.0.
L'origine du problème est la génération de la clé privée par Sphynx 2.7.0. La version de openssl (1.1.0) sur 2.7.0 est en cause.
J'ai installé openssl1.0 sur Sphynx 2.7.0 et fait générer la clé par /usr/lib/ssl1.0/openssl dans creole.cert.py, et là pas de problème.

Un rapport de bug est déjà présent : https://wiki.strongswan.org/issues/2574

Voir si on peut obtenir un patch à faire intégrer par Launchpad sur Bionic (voire également sur Xenial).

#3 Updated by Scrum Master almost 2 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Fabrice Barconnière almost 2 years ago

En fait, il s'agit d'un prérequis. La version de strongSwan doit être >= 5.6.3 sur les postes roadwarriors.
Voir comment modifier le test Squash SP-T02-005

#5 Updated by Fabrice Barconnière almost 2 years ago

  • % Done changed from 30 to 100
  • Remaining (hours) changed from 6.0 to 0.1

Test Squash SP-T02-005 adapté pour avoir une version 5.6.3 de strongSwan.
J'ai mis en place toute la conf ARV sans repasser toute la suite de test Sphynx.
J'ai repassé le test SP-T02-005 dans le bac à sable avec succès :
https://dev-eole.ac-dijon.fr/squash/executions/7967

#6 Updated by Scrum Master almost 2 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 0.1 to 0.0

Also available in: Atom PDF