Projet

Général

Profil

Tâche #36665

Scénario #36370: Traitement express MEN fermés 31/12/2024

Erreur certificats expirés entre zephir et serveurs eole

Ajouté par Michael Bresson il y a 12 mois. Mis à jour il y a 12 mois.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Livraison MENSR 31/12/2024
Début:
27/03/2025
Echéance:
% réalisé:

100%

Temps estimé:
0.00 h
Restant à faire (heures):
0.0

Description

Bonjour,
N'ayant pas eu de réponse sur la liste Zéphir, je reposte ici ma question, en espérant qu'elle ne dérange pas.

Depuis quelque temps, le serveur Zephir (2.9.0) signale un problème total de
communication avec les différents serveurs eoles comme n'ayant pas contacté le
serveur zephir dernièrement. ( 14 scribes en version 2.9. et 2.8.1 + 14 proxys
en version 2.9. et 2.8.1),

L'instruction synchro_zephir renvoie
-soit aucune anomalie,
-soit sur l'enregistrement_zephir.
Le même enregistrement_zephir renvoie :

"Certificat de Zéphir non validé !

utiliser sur Zéphir un certificat signé par une autorité reconnue,
  ou
 Copier le fichier /etc/ssl/certs/ca_local.crt de Zéphir dans
 /usr/local/share/ca-certificates et lancer update-ca-certificates."

Après avoir resynchronisé les certificats en vain,
j'ai songé à utiliser LetsEncrypt, mais je pense
que ma configuration n'est pas conforme .
En effet, l'adresse du serveur zephir n'est pas sur un domaine joignable
depuis l'extérieur, mais en XX.local.
Deuxième problème, si j'utilise un domaine joignable depuis l'extérieur,
(en l'occurrence ariege.fr) qui possède déjà un certificat, ne risque-t-il pas d'y avoir
conflit avec LetsEncrypt ?

Est-ce que quelqu'un peut m'éclairer SVP, et / ou me conseiller pour la mise
en place de LetsEncrypt ? pour la résolution des certificats Zephir expirés ?
Vous remerciant par avance et restant à votre disposition pour plus de
renseignements.
Cordialement.
--
Michaël Bresson

Pôle Assistance
Direction des Systèmes d'Information
Conseil Départemental de l'Ariège

Historique

#1 Mis à jour par Joël Cuissinat il y a 12 mois

  • Tracker changé de Demande à Tâche
  • Statut changé de Nouveau à En cours
  • Assigné à mis à Joël Cuissinat
  • Tâche parente mis à #34668

Bonjour,

Les certificats du Zéphir sont des "auto-signés" expirés ?
Si vous souhaitez conserver ce modèle, vous pouvez les re-générer en utilisant les commandes disponibles dans la FAQ mais il faudra redistribuer la CA sur tous les clients.

Vous pouvez effectivement acheter un certificat à une autorité de certification publique commerciale (mode "manuel") ou utiliser Let'Encrypt. Dans ce cas, il faut effectivement que son nom DNS soit résolu sur Internet, pourquoi pas un sous-domaine de ariege.fr ?

#2 Mis à jour par Joël Cuissinat il y a 12 mois

  • Statut changé de En cours à Fermé
  • % réalisé changé de 0 à 100
  • Restant à faire (heures) mis à 0.0

Réponse de l'utilisateur par mail :

Bonjour,

La procédure a parfaitement fonctionné. J'ai pu réinscrire mes serveurs sur Zéphir avec un certificat autosigné.

Merci beaucoup

Cordialement.

#3 Mis à jour par Joël Cuissinat il y a 12 mois

  • Temps estimé mis à 0.00 h
  • Tâche parente changé de #34668 à #36370

Formats disponibles : Atom PDF