Projet

Général

Profil

Tâche #8779

Distribution EOLE - Scénario #8835: Valider la gestion des certificats autosignés

La chaîne de certification utilisée par apache devrait pouvoir être choisie.

Ajouté par Benjamin Bohard il y a plus de 9 ans. Mis à jour il y a presque 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Benjamin Bohard
Version cible:
Distribution EOLE - Sprint_2015_26-28 - Équipe MENESR
Début:
05/09/2014
Echéance:
% réalisé:

100%

Temps estimé:
8.00 h
Temps passé:
6.00 h
Restant à faire (heures):
0.0

Description

La chaîne de certification diffusée par apache ne correspond qu'au cas où le certificat employé a été signé par Toulouse.

Demandes liées

Lié à Distribution EOLE - Tâche #8895: Rendre indépendante les configurations SSL des applications quand nécessaire. Nouveau 15/09/2014

Révisions associées

Révision dc2dde1d (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Ajustement de la chaîne de certification au certificat choisi.

  • Choix du certificat utilisé par apache dans gen_config ;
  • Construction de la chaîne de certification adaptée.

Ref #8779 @3h

Révision 2fac41ef (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Report du contournement testé en 2.3

Ref #8779

Révision 972bddca (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Ajustement de la chaîne de certification au certificat choisi.

  • Choix du certificat utilisé par apache dans gen_config ;
  • Construction de la chaîne de certification adaptée.

Ref #8779 @3h

Révision e6726bdd (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Report du contournement testé en 2.3

Ref #8779

Révision 0c400a5d (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Correction de la condition dans le dictionnaire.

value -> valeur

Ref #8779

Révision 1ca9f57c (diff)
Ajouté par Benjamin Bohard il y a plus de 9 ans

Correction de la condition dans le dictionnaire.

value -> valeur

Ref #8779

Historique

#1 Mis à jour par Benjamin Bohard il y a plus de 9 ans

En plus de pouvoir être choisie, elle devrait permettre d'utiliser firefox et la lib pkixnss (seule alternative à partir de la version 33 a priori).

Actuellement, l'utilisation de la CA locale pour compléter la chaîne de certification n'est pas adéquate et lève l'erreur sec_error_ca_cert_invalid.

Soit, dans la langue de la lib ERROR_CA_CERT_INVALID (dans le fichier pkixnss.cpp) :

379   // End-entity certificates are not allowed to act as CA certs.
380   if (!isCA) {
381     return Result::ERROR_CA_CERT_INVALID;
382   }

Les extensions x509 ne semblent pas présentes dans le certificat local final (mais présentes dans le modèle de certificat). D'où le fait que le certificat ne doit pas être reconnu comme valide par le navigateur. Il manquerait l'option -extensions à la commande openssl req pour générer un certificat racine valide.

#2 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Tâche parente mis à #8835

#3 Mis à jour par Benjamin Bohard il y a plus de 9 ans

  • Statut changé de Nouveau à En cours
  • Version cible mis à sprint 2014 36-37
  • % réalisé changé de 0 à 50

Toutes les applications devraient pouvoir pointer vers un certificat propre.

#4 Mis à jour par Benjamin Bohard il y a plus de 9 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 50 à 100

Résolution apportée dans le cadre des demandes https://dev-eole.ac-dijon.fr/issues/9270 et https://dev-eole.ac-dijon.fr/issues/9101.

L'absence des options dans le certificat autosigné n'est plus un problème étant donné que celui-ci n'est pas servi par apache.

#5 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Temps estimé mis à 8.00 h
  • Restant à faire (heures) mis à 1.0

#6 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Assigné à mis à Benjamin Bohard

#7 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 1.0 à 0.0

Formats disponibles : Atom PDF