Project

General

Profile

Scénario #27453

diagnose des certificats doit prendre en compte les CA natives si on ne spécifie pas de CAFILE ($4)

Added by Emmanuel GARETTE 6 months ago. Updated 2 days ago.

Status:
Nouveau
Priority:
Normal
Assigned To:
-
Category:
-
Start date:
09/23/2019
Due date:
10/11/2019
% Done:

0%

Story points:
1.0
Velocity based estimate:
0 days
Release relationship:
Auto

Description

Dans /usr/share/eole/diagnose/05-common il y a "TestCerts $server_cert 10 "certificat expiré"".

Dans la fonction TestCerts il y a :

    if [ -z "$4" ]; then
        echo "$CERTFILE" | grep -q '^/etc/ipsec.d/'
        [ $? = 0 ] && CAFILE=/etc/ipsec.d/cacerts/CertifCa.pem || CAFILE=/etc/ssl/certs/ca.crt

On est bien dans ce cas puisque $4 n'est pas défini. Donc CAFILE est /etc/ssl/certs/ca.crt.

On a ensuite :

    if [[ -d ${CAFILE}  ]]
    then
        cat ${CAFILE}/* > ${TMPFILE}
        CAFILE=${TMPFILE}
    fi

Je vois pas bien pourquoi un fichier CAFILE deviendrait tout d'un coup un répertoire mais admettons.

Après nous avons :

ssl_cmd="/usr/bin/openssl verify -CAfile $CAFILE -CApath $FAKE_CAPATH -purpose any $CERTFILE"

Donc le certificat n'est validé que sur la CA généré localement pour les certificats auto signés :

. cadoles.crt => Erreur : self signed certificate

Si je lis la documentation :

Après génération de la CA locale, un fichier /etc/ssl/certs/ca.crt est créé qui regroupe les certificats suivants :

    ca_local.crt ;
    ACInfraEducation.pem ;
    tout certificat présent dans le répertoire /etc/ssl/local_ca/

Le problème c'est que mon certificat est signé pour une CA nativement reconnu sur Ubuntu (donc n'est pas dans local_ca).

Solutions à mettre en œuvre

  • prendre en compte les CA local lors du test du certificat (ca me semble mieux).
  • Corriger le test diagnose pour qu'il soit fonctionnel dans tous les cas

Critères d'acceptation

  • diagnose correct

Related issues

Related to Distribution EOLE - Scénario #23543: Let's Encrypt et diagnose Nouveau

History

#1 Updated by Fabrice Barconnière 6 months ago

  • Tracker changed from Demande to Scénario
  • Subject changed from diagnose des certificats étrange to diagnose des certificats doit prendre en compte les CA natives si on ne spécifie pas de CAFILE ($4)
  • Start date deleted (03/28/2019)
  • Release set to EOLE 2.6.2.2
  • Story points set to 1.0

#2 Updated by Gilles Grandgérard about 1 month ago

  • Due date set to 09/20/2019
  • Target version set to sprint 2019 36-38 Equipe MENSR
  • Start date set to 08/20/2019

#3 Updated by Joël Cuissinat 16 days ago

  • Due date deleted (09/20/2019)
  • Target version deleted (sprint 2019 36-38 Equipe MENSR)
  • Start date deleted (08/20/2019)
  • Release changed from EOLE 2.6.2.2 to Carnet de produit (Cadoles)

#4 Updated by Joël Cuissinat 8 days ago

  • Description updated (diff)

#5 Updated by Gilles Grandgérard 7 days ago

  • Description updated (diff)

#6 Updated by Joël Cuissinat 3 days ago

#7 Updated by Joël Cuissinat 3 days ago

  • Description updated (diff)

#8 Updated by Joël Cuissinat 2 days ago

  • Due date set to 10/11/2019
  • Target version set to Prestation Cadoles 39-41
  • Start date set to 09/23/2019

Also available in: Atom PDF