Projet

Général

Profil

Tâche #35935

Scénario #35830: Le certificat Let's Encrypt ne sont pas reconnu à l'enregistrement_zephir

Suite à la dernière mise à jour certificat non valide

Ajouté par moncef ziani il y a environ 2 mois. Mis à jour il y a 19 jours.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Livraison Cadoles 31/03/2024 (90)
Début:
10/05/2024
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Bonjour,

Suite à la dernière mise à jour du zephir, notre serveur zephir, en version 2.9.0 n'est plus fonctionnel, cela n'est pas confortable car nous sommes en pleine migration de nos serveurs scribe en version 2.8. Le problème est la conséquence du certificat qui est déclaré comme non validé nous empêchant d'accéder à l'interface de gestion par le Web et empêchant par la même occasion le gestion de nos serveurs à distance.
Dans le gencibfig apparaît un nouveau champ où l'on doit intégré le fichier contenant la chaîne et le certificat
Si j'ai bien compris, la mise à jour ne devait concernait que les certificat Let's encrypt.
Serait-il possible d'activer ce changement seulement pour Let's encrypt et par pour les autres types de certificats ?
C'est une demande urgente car le serveur zephir qui est en production ne fonctionne plus et nous sommes bloqué dans nos migrations de serveur.

Diagnose.png Voir (128 ko) moncef ziani, 13/05/2024 12:13

00_certif.xml.png Voir (53,2 ko) moncef ziani, 13/05/2024 12:13

Gen_Config.png Voir (139 ko) moncef ziani, 13/05/2024 12:16

Certif-ok-Diagnose-NOK.png Voir (109 ko) moncef ziani, 13/05/2024 13:35

Révisions associées

Révision c28970d8 (diff)
Ajouté par Joël Cuissinat il y a environ 2 mois

Correction pb de certificat "manuel"

Ref: #35935

Révision f4d3cd9d (diff)
Ajouté par Joël Cuissinat il y a 24 jours

Correction pb de certificat "manuel"

Ref: #35935

Historique

#1 Mis à jour par Emmanuel GARETTE il y a environ 2 mois

Bonjour,

Je viens d'avoir le problème également avec un certificat "manuel".

Avec le dictionnaire suivant (a mettre par exemple dans /usr/share/eole/creole/dicos/local/02_certif.xml) je n'ai plus de problème :


<?xml version="1.0" encoding="utf-8"?>

<creole>
    <variables>
        <family name='général'>
            <variable name='server_full_chain_pem' redefine="True"/>
        </family>
    </variables>
    <constraints>
        <fill name='calc_multi_condition' target='server_full_chain_pem'>
            <param>letsencrypt</param>
            <param type='eole' name='condition_1'>cert_type</param>
            <param name='default_match'>/etc/ssl/certs/eole_fullchain.pem</param>
            <param name='mismatch' type="eole">server_cert</param>
        </fill>
    </constraints>
</creole>

#2 Mis à jour par moncef ziani il y a environ 2 mois

Bonjour,

Merci pour votre réponse rapide.
Je viens de rajouter ce dico 02_certif.xml dans /usr/share/eole/creole/dicos/local/
Suite au reconfigure cela plant le service creole

ci-dessous le log correspondant:

2024-05-13T10:40:37.640269+02:00 zephir.toutatice.fr creoled[466082]: creoled - Impossible de charger la configuration Creole.XML declaration allowed only at the start of the document, line 3, column 6 (02_certif.xml, line 3)

#3 Mis à jour par Joël Cuissinat il y a environ 2 mois

  • Assigné à mis à Joël Cuissinat
  • Tâche parente mis à #35830

#4 Mis à jour par Joël Cuissinat il y a environ 2 mois

Bonjour Moncef,
Ça ressemble à un pb de copier/coller du XML...
Il ne faut pas la ligne vide en début de fichier !
+ vérifier les éventuels caractères spéciaux qui auraient pu se glisser...
Dès que tu valides la correction, je prépare une diffusion rapide ;)

#5 Mis à jour par Joël Cuissinat il y a environ 2 mois

  • Statut changé de Nouveau à En cours

#6 Mis à jour par moncef ziani il y a environ 2 mois

Merci, j'ai été trop vite dans le copier/coller pour cette précision.
Le reconfigure va jusqu'à son terme.
Par contre pas d'évolution, toujours non opérationnel.

Ci joint trois captures:
-> résultat du diagnose
-> contenu du 00_certif.xml
-> Gen_config section certificats

#7 Mis à jour par Laurent Gourvenec il y a environ 2 mois

Bonjour Moncef,

Le dico supplémentaire est là pour donner une valeur par défaut correcte à la nouvelle variable ("Chemin du fichier contenant le certificat SSL et la chaîne")
De ce que je lis de la capture d'écran de genconfig, vous avez dû modifier cette nouvelle variable à la main.
Pourriez-vous réinitialiser cette variable à sa valeur par défaut via genconfig ? Avec le dictionnaire en plus, cette valeur par défaut devrait être la valeur de la variable "Chemin du fichier contenant le certificat SSL" (/etc/ssl/certs/zephir_toutatice_fr_crt je suppose)

#8 Mis à jour par moncef ziani il y a environ 2 mois

Bonjour Joël et Laurent,

C'est réglé pour l'accès au zephir et la prise en compte du certificat.
Un grand merci pour votre réactivité.
Par contre il est toujours vu comme invalide suite au diagnose.
Il reste des chose à ajuster au niveau du diagnose.

#9 Mis à jour par Joël Cuissinat il y a environ 2 mois

=> eole-common 2.9.0-66

#10 Mis à jour par Yoni Baude il y a environ 2 mois

Bonjour,

Suite à l'ajout du dico /usr/share/eole/creole/dicos/local/02_certif.xml et la modification de la variable server_full_chain_pem, notre zéphir 2.9 est de nouveau accessible en web.

*** Validité des certificats
Validité du certificat zephirpublic.crt
.                  Certificat => OK
.                      Chaîne => OK
.                  Expiration => Fin de validité dans plus de 30 jours
.                DNS reconnus => zephirpublic.ac-caen.fr
.                 Date de fin => dim. 16 févr. 2025 00:59:59 CET
.                          CA => Sectigo RSA Organization Validation Secure Server CA

Seulement, nos Horus 2.6 ne peuvent plus récupérer leurs configurations :

 --------------------------------------------------------------------------------
                          Préparation pour reconfigure                          
--------------------------------------------------------------------------------
Restart Systemd service creoled                                         [  OK  ]

Impossible de vérifier sur Zéphir les interdictions pour RECONFIGURE.
Message d'erreur : [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
Utilisation des paramètres en cache

Merci de vôtre aide,

Cordialement,
Yoni

#11 Mis à jour par Yoni Baude il y a environ 2 mois

Problème de communication entre le zéphir et les horus résolu, il manquait la chaîne de certification sur le zéphir.
Merci
Yoni

#12 Mis à jour par Joël Cuissinat il y a environ 2 mois

  • Statut changé de En cours à À valider
  • % réalisé changé de 0 à 100

#13 Mis à jour par Joël Cuissinat il y a environ 2 mois

Publication maj corrective : https://dev-eole.ac-dijon.fr/news/681

#14 Mis à jour par Laurent Gourvenec il y a 26 jours

  • Projet changé de Zéphir à Distribution EOLE
  • Statut changé de À valider à Résolu

#15 Mis à jour par Joël Cuissinat il y a 25 jours

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF