Project

General

Profile

Tâche #33079

Scénario #33150: Évolutions Let's Encrypt

Le certificat Let's Encrypt du serveur ne devrait pas obligatoirement être avec le nom de domaine machine

Added by Emmanuel GARETTE 3 months ago. Updated about 1 month ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/06/2021
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Lorsqu'on est en mode let's encrypt il y a différent soucis avec les noms de domaine.

Dans postservice/00-letsencrypt on a :

- un certificat que je qualifirais de "primaire" qui est généré pour le domaine "nom_domaine_machine" (et qui a éventuellement web_url comme nom de domaine alternatif), ce fichier est copier dans le fichier "%%server_pem" en hooks de Let's encrypt

- des certificats pour tous les domaines "le_extra_names" + si le reverse proxy est activé, les adresses gérés par le reverse proxy.

Les problèmes :

Si "nom_domaine_local" est un domain exclusivement local, il est impossible de générer des certificats LE.
Si on veut un nom de domaine alternatif autre que web_url ce n'est pas possible.

Cas concrêt :

Sur un Hâpy on met un Amon et un Scribe.
On demande au client un nom de domaine extérieur pour avoir accès au service, dans l'exemple la réponse est "example.com".

On configuré généralement le domaine local de l'Amon à example.com et le nom de domaine du scribe a doc.example.com (avec example.com comme web_url).

LE est configuré sur l'Amon, donc le certificat primaire de l'Amon est donc en "amon.example.com". Il faut donc que le client ajoute dans son DNS ce nom de domaine supplémentaire : amon.example.com.
En plus, le certificat example.com est demander pour le reverse proxy.
Si l'utilisateur veux accéder à Envole, pas de soucis, il tape "example.com". S'il veut accèder aux EAD (sur le port 4200 ou 4203) il doit obligatoirement taper "amon.example.com". Ce n'est vraiment pas pratique !

Lorsqu'on est en certificat auto signé, on n'a pas de soucis parce que les domaines sont ajoutés au subject altname.

Cela serait plus pratique si on pouvait définir les domaines du certificat primaire.

Associated revisions

Revision 0fa4c62d (diff)
Added by Emmanuel GARETTE about 2 months ago

Utiliser et pouvoir modifier les variables ssl_server_name et ssl_subjectaltname dans le cas de let's encrypt (ref #33079)

History

#1 Updated by Joël Cuissinat 3 months ago

  • Parent task set to #33150

#2 Updated by Emmanuel GARETTE about 2 months ago

  • Status changed from Nouveau to En cours

#3 Updated by Emmanuel GARETTE about 2 months ago

  • Status changed from En cours to À valider
  • Assigned To set to Emmanuel GARETTE
  • % Done changed from 0 to 100

#4 Updated by Emmanuel GARETTE about 2 months ago

  • Status changed from À valider to Résolu

Les informations sont bien prisent en compte :

run-parts: executing /usr/share/eole/postservice/00-letsencrypt reconfigure
  - Demande de certificat pour lab2.labs.eole.education, lab2.labs.eole.education, lab2-2.labs.eole.education, lab2-1.labs.eole.education [OK]

#5 Updated by Joël Cuissinat about 1 month ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Non testé mais l'ensemble me paraît plus simple qu'avant.

Also available in: Atom PDF