Projet

Général

Profil

Tâche #34918

Scénario #34741: Problèmes rencontrés lors de la qualification 2.9.0-rc1

Vérification SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1)

Ajouté par Fabrice Barconnière il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Qualification EOLE 2.9.0 RC1
Début:
03/05/2021
Echéance:
% réalisé:

100%

Temps estimé:
0.00 h
Restant à faire (heures):
0.0

Description

Pas №11

Reconfigure en erreur :

run-parts: executing /usr/share/eole/postservice/00-letsencrypt reconfigure
  - Demande de certificat pour lab4-1.labs.eole.education [KO]
Code retour 1
Erreur à la demande du certificat, des logs sont disponibles dans le fichier /var/log/eole-letsencrypt.log
run-parts: /usr/share/eole/postservice/00-letsencrypt exited with return code 1
Erreur : postservice

Extrait du log

Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
  Domain: lab4-1.labs.eole.education
  Type:   dns
  Detail: DNS problem: NXDOMAIN looking up A for lab4-1.labs.eole.education - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for lab4-1.labs.eole.education - check that a DNS record exists for this domain

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Exécution Squash-TM

Demandes liées

Lié à Distribution EOLE - Scénario #35179: Le test diagnose vérifiant les certificats est susceptible de chercher des noms de domaines non gérés localement Nouveau

Historique

#1 Mis à jour par Joël Cuissinat il y a plus d'un an

  • Sujet changé de Correction SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1) à Vérification SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1)

#2 Mis à jour par Joël Cuissinat il y a plus d'un an

Réponse de Daniel :

Le DNS a été modifié récemment
on est passé sur des *.lab4.labs.eole.education
On pourrait donc passer le test avec test1.lab4.labs.eole.education et test2.lab4.labs.eole.education

#3 Mis à jour par Joël Cuissinat il y a plus d'un an

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Joël Cuissinat

#4 Mis à jour par Joël Cuissinat il y a plus d'un an

C'est OK en utilisant test1.lab5.labs.eole.education et test2.lab5.labs.eole.education ;)

Par contre, le diagnose n'est pas content :

*** Validité des certificats
Validité du certificat eole.crt
.                  Certificat => Invalide
.                      Chaîne => OK
.                  Expiration => Fin de validité dans plus de 30 jours
.                DNS reconnus => lab5.labs.eole.education
.               DNS manquants => test1.lab5.labs.eole.education test2.lab5.labs.eole.education
.                 Date de fin => lun. 27 févr. 2023 15:36:23 CET
.                          CA => R3
Validité du certificat test1.lab5.labs.eole.education/cert.pem
.                  Certificat => OK
.                      Chaîne => OK
.                  Expiration => Fin de validité dans plus de 30 jours
.                DNS reconnus => test1.lab5.labs.eole.education
.                 Date de fin => lun. 27 févr. 2023 16:07:23 CET
.                          CA => R3

Est-ce que supprimer le fichier /etc/ssl/certs/eole.crt avant le reconfigure est une solution acceptable => NON, l'erreur est toujours là !

root@lab5:~# CreoleGet --list | grep test1
revprox_domainname="test1.lab5.labs.eole.education test2.lab5.labs.eole.education" 
ssl_subjectaltname="test1.lab5.labs.eole.education test2.lab5.labs.eole.education lab5.labs.eole.education"

Dans le cadre du test, on peut supprimer cette erreur en écrasant le "fill" avec CreoleSet ssl_subjectaltname lab5.labs.eole.education.
Dans un autre cadre ???

#5 Mis à jour par Joël Cuissinat il y a plus d'un an

<icephale> oui [...] : il faut dissocier les certificats identifiant les machines des certificats identifiant les services hébergés par ces machines

#6 Mis à jour par Joël Cuissinat il y a plus d'un an

  • Statut changé de En cours à Fermé
  • % réalisé changé de 0 à 100

Problème principal corrigé → création d'une demande dédiée pour le fill / test diagnose : #35179

#7 Mis à jour par Joël Cuissinat il y a plus d'un an

  • Lié à Scénario #35179: Le test diagnose vérifiant les certificats est susceptible de chercher des noms de domaines non gérés localement ajouté

Formats disponibles : Atom PDF