Project

General

Profile

Tâche #8779

Distribution EOLE - Scénario #8835: Valider la gestion des certificats autosignés

La chaîne de certification utilisée par apache devrait pouvoir être choisie.

Added by Benjamin Bohard over 6 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/05/2014
Due date:
% Done:

100%

Estimated time:
8.00 h
Spent time:
Remaining (hours):
0.0

Description

La chaîne de certification diffusée par apache ne correspond qu'au cas où le certificat employé a été signé par Toulouse.


Related issues

Related to Distribution EOLE - Tâche #8895: Rendre indépendante les configurations SSL des applications quand nécessaire. Nouveau 09/15/2014

Associated revisions

Revision dc2dde1d (diff)
Added by Benjamin Bohard over 6 years ago

Ajustement de la chaîne de certification au certificat choisi.

  • Choix du certificat utilisé par apache dans gen_config ;
  • Construction de la chaîne de certification adaptée.

Ref #8779 @3h

Revision 2fac41ef (diff)
Added by Benjamin Bohard over 6 years ago

Report du contournement testé en 2.3

Ref #8779

Revision 972bddca (diff)
Added by Benjamin Bohard over 6 years ago

Ajustement de la chaîne de certification au certificat choisi.

  • Choix du certificat utilisé par apache dans gen_config ;
  • Construction de la chaîne de certification adaptée.

Ref #8779 @3h

Revision e6726bdd (diff)
Added by Benjamin Bohard over 6 years ago

Report du contournement testé en 2.3

Ref #8779

Revision 0c400a5d (diff)
Added by Benjamin Bohard over 6 years ago

Correction de la condition dans le dictionnaire.

value -> valeur

Ref #8779

Revision 1ca9f57c (diff)
Added by Benjamin Bohard over 6 years ago

Correction de la condition dans le dictionnaire.

value -> valeur

Ref #8779

History

#1 Updated by Benjamin Bohard over 6 years ago

En plus de pouvoir être choisie, elle devrait permettre d'utiliser firefox et la lib pkixnss (seule alternative à partir de la version 33 a priori).

Actuellement, l'utilisation de la CA locale pour compléter la chaîne de certification n'est pas adéquate et lève l'erreur sec_error_ca_cert_invalid.

Soit, dans la langue de la lib ERROR_CA_CERT_INVALID (dans le fichier pkixnss.cpp) :

379   // End-entity certificates are not allowed to act as CA certs.
380   if (!isCA) {
381     return Result::ERROR_CA_CERT_INVALID;
382   }

Les extensions x509 ne semblent pas présentes dans le certificat local final (mais présentes dans le modèle de certificat). D'où le fait que le certificat ne doit pas être reconnu comme valide par le navigateur. Il manquerait l'option -extensions à la commande openssl req pour générer un certificat racine valide.

#2 Updated by Daniel Dehennin over 6 years ago

  • Parent task set to #8835

#3 Updated by Benjamin Bohard over 6 years ago

  • Status changed from Nouveau to En cours
  • Target version set to sprint 2014 36-37
  • % Done changed from 0 to 50

Toutes les applications devraient pouvoir pointer vers un certificat propre.

#4 Updated by Benjamin Bohard over 6 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 50 to 100

Résolution apportée dans le cadre des demandes https://dev-eole.ac-dijon.fr/issues/9270 et https://dev-eole.ac-dijon.fr/issues/9101.

L'absence des options dans le certificat autosigné n'est plus un problème étant donné que celui-ci n'est pas servi par apache.

#5 Updated by Joël Cuissinat almost 6 years ago

  • Estimated time set to 8.00 h
  • Remaining (hours) set to 1.0

#6 Updated by Joël Cuissinat over 5 years ago

  • Assigned To set to Benjamin Bohard

#7 Updated by Joël Cuissinat over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 1.0 to 0.0

Also available in: Atom PDF