Project

General

Profile

Anomalie #425

Améliorer le test sur la "validité des certificats ipsec" dans diagnose

Added by Emmanuel GARETTE over 11 years ago. Updated over 11 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
04/16/2010
Due date:
% Done:

100%

Spent time:
Distribution:

Description

(reprise de http://eole.orion.education.fr/signalement/view.php?id=1731 )

Le test n'affiche une erreur que lorsque le certificat est périmé...
Il faudrait au minimum mettre un warning quelques jours/semaines avant (cf. agent Zéphir).

En fait le premier titre était le bon (Ajouter le test sur la "validité des certificats ipsec" dans diagnose), je suis juste tombé sur un établissement utilisant le certificat présent dans /etc/freeswan/ipsec.d/ pour nuauth TLS !

A noter que le test effectué ne marche pas dans ce cas :
root@pf-amon:~# /usr/bin/openssl verify -CAfile $CAFILE -purpose any /etc/freeswan/ipsec.d/0211227V-01.pem
/etc/freeswan/ipsec.d/0211227V-01.pem: /C=fr/O=gouv/OU=education/OU=ac-dijon/CN=0211227V-01
error 20 at 0 depth lookup:unable to get local issuer certificate

Associated revisions

Revision 41b0032f (diff)
Added by Emmanuel GARETTE over 11 years ago

CA correct en cas d'utilisation de nuauth et rvp (ref #425)

History

#1 Updated by Emmanuel GARETTE over 11 years ago

Le problème Nuauth est corrigé en 2.2 et en 2.3.

#2 Updated by Emmanuel GARETTE over 11 years ago

Le support du "warning" sur la date d'expiration du certificat n'est, semble-t'il, pas évident.

Le format de la date étant de la forme :

root@pf-amon:~# openssl x509 -in /etc/ssl/certs/eole.crt -dates -noout
notBefore=Oct 1 14:50:06 2009 GMT
notAfter=Oct 1 14:50:06 2012 GMT

Sinon, il faudrait avertir pour les certificats ipset avec reprise du code de l'agent-zephir.

#3 Updated by Joël Cuissinat over 11 years ago

  • Status changed from Nouveau to Résolu
  • Assigned To set to Emmanuel GARETTE
  • Target version changed from 2.3 BETA 1 to Mises à jour 2.2.2 - 02 RC
  • % Done changed from 0 to 100

#4 Updated by Joël Cuissinat over 11 years ago

  • Status changed from Résolu to Fermé

Correction sur Nuauth disponible en candidate : creole 2.2-eole172~1.gbp74d1db
commit associé : http://dev-eole.ac-dijon.fr/projects/creole/repository/revisions/41b0032f3803d97e14b079f391b5274a959eefee

Le reste du problème ne sera pas corrigé sur Eole-2.2

Also available in: Atom PDF