Project

General

Profile

Tâche #35935

Distribution EOLE - Scénario #35830: Le certificat Let's Encrypt ne sont pas reconnu à l'enregistrement_zephir

Suite à la dernière mise à jour certificat non valide

Added by moncef ziani 13 days ago. Updated 8 days ago.

Status:
À valider
Priority:
Normal
Assigned To:
Start date:
05/10/2024
Due date:
% Done:

100%

Remaining (hours):

Description

Bonjour,

Suite à la dernière mise à jour du zephir, notre serveur zephir, en version 2.9.0 n'est plus fonctionnel, cela n'est pas confortable car nous sommes en pleine migration de nos serveurs scribe en version 2.8. Le problème est la conséquence du certificat qui est déclaré comme non validé nous empêchant d'accéder à l'interface de gestion par le Web et empêchant par la même occasion le gestion de nos serveurs à distance.
Dans le gencibfig apparaît un nouveau champ où l'on doit intégré le fichier contenant la chaîne et le certificat
Si j'ai bien compris, la mise à jour ne devait concernait que les certificat Let's encrypt.
Serait-il possible d'activer ce changement seulement pour Let's encrypt et par pour les autres types de certificats ?
C'est une demande urgente car le serveur zephir qui est en production ne fonctionne plus et nous sommes bloqué dans nos migrations de serveur.

Diagnose.png View (128 KB) moncef ziani, 05/13/2024 12:13 PM

00_certif.xml.png View (53.2 KB) moncef ziani, 05/13/2024 12:13 PM

Gen_Config.png View (139 KB) moncef ziani, 05/13/2024 12:16 PM

Certif-ok-Diagnose-NOK.png View (109 KB) moncef ziani, 05/13/2024 01:35 PM

Associated revisions

Revision c28970d8 (diff)
Added by Joël Cuissinat 10 days ago

Correction pb de certificat "manuel"

Ref: #35935

History

#1 Updated by Emmanuel GARETTE 10 days ago

Bonjour,

Je viens d'avoir le problème également avec un certificat "manuel".

Avec le dictionnaire suivant (a mettre par exemple dans /usr/share/eole/creole/dicos/local/02_certif.xml) je n'ai plus de problème :


<?xml version="1.0" encoding="utf-8"?>

<creole>
    <variables>
        <family name='général'>
            <variable name='server_full_chain_pem' redefine="True"/>
        </family>
    </variables>
    <constraints>
        <fill name='calc_multi_condition' target='server_full_chain_pem'>
            <param>letsencrypt</param>
            <param type='eole' name='condition_1'>cert_type</param>
            <param name='default_match'>/etc/ssl/certs/eole_fullchain.pem</param>
            <param name='mismatch' type="eole">server_cert</param>
        </fill>
    </constraints>
</creole>

#2 Updated by moncef ziani 10 days ago

Bonjour,

Merci pour votre réponse rapide.
Je viens de rajouter ce dico 02_certif.xml dans /usr/share/eole/creole/dicos/local/
Suite au reconfigure cela plant le service creole

ci-dessous le log correspondant:

2024-05-13T10:40:37.640269+02:00 zephir.toutatice.fr creoled[466082]: creoled - Impossible de charger la configuration Creole.XML declaration allowed only at the start of the document, line 3, column 6 (02_certif.xml, line 3)

#3 Updated by Joël Cuissinat 10 days ago

  • Assigned To set to Joël Cuissinat
  • Parent task set to #35830

#4 Updated by Joël Cuissinat 10 days ago

Bonjour Moncef,
Ça ressemble à un pb de copier/coller du XML...
Il ne faut pas la ligne vide en début de fichier !
+ vérifier les éventuels caractères spéciaux qui auraient pu se glisser...
Dès que tu valides la correction, je prépare une diffusion rapide ;)

#5 Updated by Joël Cuissinat 10 days ago

  • Status changed from Nouveau to En cours

#6 Updated by moncef ziani 10 days ago

Merci, j'ai été trop vite dans le copier/coller pour cette précision.
Le reconfigure va jusqu'à son terme.
Par contre pas d'évolution, toujours non opérationnel.

Ci joint trois captures:
-> résultat du diagnose
-> contenu du 00_certif.xml
-> Gen_config section certificats

#7 Updated by Laurent Gourvenec 10 days ago

Bonjour Moncef,

Le dico supplémentaire est là pour donner une valeur par défaut correcte à la nouvelle variable ("Chemin du fichier contenant le certificat SSL et la chaîne")
De ce que je lis de la capture d'écran de genconfig, vous avez dû modifier cette nouvelle variable à la main.
Pourriez-vous réinitialiser cette variable à sa valeur par défaut via genconfig ? Avec le dictionnaire en plus, cette valeur par défaut devrait être la valeur de la variable "Chemin du fichier contenant le certificat SSL" (/etc/ssl/certs/zephir_toutatice_fr_crt je suppose)

#8 Updated by moncef ziani 10 days ago

Bonjour Joël et Laurent,

C'est réglé pour l'accès au zephir et la prise en compte du certificat.
Un grand merci pour votre réactivité.
Par contre il est toujours vu comme invalide suite au diagnose.
Il reste des chose à ajuster au niveau du diagnose.

#9 Updated by Joël Cuissinat 10 days ago

=> eole-common 2.9.0-66

#10 Updated by Yoni Baude 9 days ago

Bonjour,

Suite à l'ajout du dico /usr/share/eole/creole/dicos/local/02_certif.xml et la modification de la variable server_full_chain_pem, notre zéphir 2.9 est de nouveau accessible en web.

*** Validité des certificats
Validité du certificat zephirpublic.crt
.                  Certificat => OK
.                      Chaîne => OK
.                  Expiration => Fin de validité dans plus de 30 jours
.                DNS reconnus => zephirpublic.ac-caen.fr
.                 Date de fin => dim. 16 févr. 2025 00:59:59 CET
.                          CA => Sectigo RSA Organization Validation Secure Server CA

Seulement, nos Horus 2.6 ne peuvent plus récupérer leurs configurations :

 --------------------------------------------------------------------------------
                          Préparation pour reconfigure                          
--------------------------------------------------------------------------------
Restart Systemd service creoled                                         [  OK  ]

Impossible de vérifier sur Zéphir les interdictions pour RECONFIGURE.
Message d'erreur : [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
Utilisation des paramètres en cache

Merci de vôtre aide,

Cordialement,
Yoni

#11 Updated by Yoni Baude 9 days ago

Problème de communication entre le zéphir et les horus résolu, il manquait la chaîne de certification sur le zéphir.
Merci
Yoni

#12 Updated by Joël Cuissinat 9 days ago

  • Status changed from En cours to À valider
  • % Done changed from 0 to 100

#13 Updated by Joël Cuissinat 8 days ago

Publication maj corrective : https://dev-eole.ac-dijon.fr/news/681

Also available in: Atom PDF