Tâche #8779
Distribution EOLE - Scénario #8835: Valider la gestion des certificats autosignés
La chaîne de certification utilisée par apache devrait pouvoir être choisie.
Description
La chaîne de certification diffusée par apache ne correspond qu'au cas où le certificat employé a été signé par Toulouse.
Demandes liées
Révisions associées
Ajustement de la chaîne de certification au certificat choisi.
- Choix du certificat utilisé par apache dans gen_config ;
- Construction de la chaîne de certification adaptée.
Ref #8779 @3h
Report du contournement testé en 2.3
Ref #8779
Ajustement de la chaîne de certification au certificat choisi.
- Choix du certificat utilisé par apache dans gen_config ;
- Construction de la chaîne de certification adaptée.
Ref #8779 @3h
Report du contournement testé en 2.3
Ref #8779
Historique
#1 Mis à jour par Benjamin Bohard il y a plus de 9 ans
En plus de pouvoir être choisie, elle devrait permettre d'utiliser firefox et la lib pkixnss (seule alternative à partir de la version 33 a priori).
Actuellement, l'utilisation de la CA locale pour compléter la chaîne de certification n'est pas adéquate et lève l'erreur sec_error_ca_cert_invalid.
Soit, dans la langue de la lib ERROR_CA_CERT_INVALID (dans le fichier pkixnss.cpp) :
379 // End-entity certificates are not allowed to act as CA certs. 380 if (!isCA) { 381 return Result::ERROR_CA_CERT_INVALID; 382 }
Les extensions x509 ne semblent pas présentes dans le certificat local final (mais présentes dans le modèle de certificat). D'où le fait que le certificat ne doit pas être reconnu comme valide par le navigateur. Il manquerait l'option -extensions à la commande openssl req pour générer un certificat racine valide.
#2 Mis à jour par Daniel Dehennin il y a plus de 9 ans
- Tâche parente mis à #8835
#3 Mis à jour par Benjamin Bohard il y a plus de 9 ans
- Statut changé de Nouveau à En cours
- Version cible mis à sprint 2014 36-37
- % réalisé changé de 0 à 50
Toutes les applications devraient pouvoir pointer vers un certificat propre.
#4 Mis à jour par Benjamin Bohard il y a plus de 9 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 50 à 100
Résolution apportée dans le cadre des demandes https://dev-eole.ac-dijon.fr/issues/9270 et https://dev-eole.ac-dijon.fr/issues/9101.
L'absence des options dans le certificat autosigné n'est plus un problème étant donné que celui-ci n'est pas servi par apache.
#5 Mis à jour par Joël Cuissinat il y a presque 9 ans
- Temps estimé mis à 8.00 h
- Restant à faire (heures) mis à 1.0
#6 Mis à jour par Joël Cuissinat il y a presque 9 ans
- Assigné à mis à Benjamin Bohard
#7 Mis à jour par Joël Cuissinat il y a presque 9 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 1.0 à 0.0