Distribution EOLE

Actuellement, il y a potentiellement plusieurs certificats utilisés sur un serveur (pour apache, pour eolesso, pour postgresql, pour le serveur).

Plusieurs services utilisent des copies du certificat indiqué dans la variable server_cert, via la fonction InstallSSLFiles du script /usr/lib/eole/utils.sh.

Il n’y a pas de moyen facile de recenser les certificats utilisés sur un serveur. Établir la liste des certificats à surveiller n’est donc pas évident. Sans parler des services qui les utilisent.

On peut donner l’état des certificats pointés par les variables apache_cert, eolesso_cert et pg_server_cert si elles existent. On peut également donner l’état du certificat pointé par la variable server_cert indépendamment de la variable cert_type. Ça ne résoudra pas le problème de savoir quel service est impacté par quelle péremption.

Il serait profitable de tenir une base de données associant certificat, clé, racine et service pour faciliter le suivi. Un fichier plat paraît suffisant.
On pourrait modifier légèrement la fonction InstallSSLFiles pour alimenter cette base lors de l’appel. De même avec le code creole.cert utilisant les fragments /usr/share/eole/certs/*_*.gen_cert.

L’agent Zéphir localcert prend déjà en charge une liste de certificats, actuellement constituée de la cible de server_cert et de la liste des certificats let’s encrypt.

En listant au préalable les certificats utilisés sur le serveur, il est aisé d’avoir un rapport sur la péremption de ces certificats dans les agents Zéphir.

Il faut tout de même modifier la manière de passer la clé privé à l’agent, la supposition étant faite qu’il n’y a qu’une clé possible (idem pour la CA mais c’est moins problématique pour le test de la péremption uniquement).