Project

General

Profile

Tâche #9101

Distribution EOLE - Scénario #9238: Demandes critiques 2.4.1

Le fichier "eole_ca-chain.crt" n'est pas généré sur 2.4

Added by Joël Cuissinat over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
Start date:
09/30/2014
Due date:
% Done:

100%

Estimated time:
1.00 h
Spent time:
Remaining (hours):
0.0

Description

Depuis la dernière mise à jour d'eole-web, le service apache2 ne fonctionne plus.

Les logs indiquent l'erreur suivante :

Syntax error on line 7 of /etc/apache2/sites-enabled/Vhost-ssl:
SSLCertificateChainFile: file '/etc/ssl/certs/eole_ca-chain.crt' does not exist or is empty


Related issues

Related to eole-web - Tâche #8842: Contournement du problème de certificat pour les sites web. Fermé 09/12/2014
Copied to eole-web - Tâche #9270: Le fichier "eole_ca-chain.crt" n'est pas généré sur 2.3 Fermé 10/14/2014

Associated revisions

Revision a6dd5f82 (diff)
Added by Joël Cuissinat over 6 years ago

  • pretemplate/00-web : utilisation de $CERT partout

Ref: #9101 @20m [2.3]

Revision 6724c917 (diff)
Added by Joël Cuissinat over 6 years ago

  • pretemplate/00-web : utilisation de CreoleGet et $CERT

Fixes: #9101 @30m [2.4]

Revision 5ed641c3 (diff)
Added by Benjamin Bohard over 6 years ago

Rétro-portage des fonctions pour créer les chaînes de certificats

Ref #9101 @15m

Revision 0285a541 (diff)
Added by Benjamin Bohard over 6 years ago

Rétro-portage des directives de création de certificats.

Ref #9101 @30m

Revision 263406d3 (diff)
Added by Benjamin Bohard over 6 years ago

SSLCertificateChainFile utilisable uniquement avec des certificats intermédiaires.

Ref #9101 @30m

Revision 8e402833 (diff)
Added by Benjamin Bohard over 6 years ago

Correction du Makefile.

Ref #9101 @10m

Revision 7bc04b3b (diff)
Added by Benjamin Bohard over 6 years ago

Correction du Makefile.

Ref #9101 @10m

Revision 4f478d92 (diff)
Added by Benjamin Bohard over 6 years ago

Exclure les fichiers contenant les chaines de la liste.

Ref #9101 @1h

Revision 22354022 (diff)
Added by Benjamin Bohard over 6 years ago

Type dans un nom de fichier et nettoyage pretemplate.

Ref #9101 @30m

Revision 8de352fd (diff)
Added by Benjamin Bohard over 6 years ago

Ajout de fonction pour générer des chaînes de certificat.

La génération d'une chaîne de certificat correspondant à un certificat donné
est mise à disposition des fragments de code posés dans /usr/share/eole/certs
à travers une fonction générant un catalogue sommaire des certificats présents
dans /etc/ssl/certs, une fonction établissant la liste complète des certificats
formant une chaîne et une fonction ne conservant que les certificats
intermédiaires.

Ref #9101 @5.5h

Revision 9e2a9868 (diff)
Added by Benjamin Bohard over 6 years ago

Traduction du message ajouté.

Ref #9101 @20m

Revision f760e4ff (diff)
Added by Benjamin Bohard over 6 years ago

Ajout d'un commentaire pour expliquer les imports non utilisés.

Ref #9101 @5m

Revision 2166389d (diff)
Added by Benjamin Bohard over 6 years ago

Directives pour créer les fichiers nécessaires à l'utilisation de SSL par apache.

Ref #9101 @1h

Revision 4b9200cd (diff)
Added by Benjamin Bohard over 6 years ago

Suppression de l'ancien script de génération des chaînes de certificats.

Ref #9101 @5m

Revision 409222bc (diff)
Added by Benjamin Bohard over 6 years ago

Ajout des certificats sous forme de fichiers individuels.

Ref #9101 20m

Revision c4bfe3be (diff)
Added by Benjamin Bohard over 6 years ago

À l'instance, ssl_dir n'est pas connu.

Ref #9101 @10m

Revision d8be17ec (diff)
Added by Benjamin Bohard over 6 years ago

Condition pour l'utilisation de l'option SSLCertificateChainFile.

Ref #9101 @10m

Revision 20cf87a6 (diff)
Added by Benjamin Bohard over 6 years ago

Les certificats ne sont pas pris en charge par update-ca-certificates.

Les certificats doivent être dans /usr/local/share/ca-certificates.
Les liens sont faits au postinstall.

Ref #9101 @50m

Revision 8b42b938 (diff)
Added by Benjamin Bohard over 6 years ago

Seuls les *.crt sont pris en compte par update-ca-certificates.

Ref #9101 @5m

Revision 59783754 (diff)
Added by Benjamin Bohard over 6 years ago

Seules les fichiers *.crt sont pris en compte par update-ca-certificates.

Ref #9101 @20m

Revision 6e0c0761 (diff)
Added by Benjamin Bohard over 6 years ago

Typo dans le nom d'un fichier.

Ref #9101 @5m

History

#1 Updated by Joël Cuissinat over 6 years ago

  • Status changed from Nouveau to Résolu
  • Start date set to 09/30/2014
  • % Done changed from 0 to 100

#2 Updated by Joël Cuissinat over 6 years ago

  • Status changed from Résolu to En cours
  • Target version set to sprint 2014 40-41

#3 Updated by Joël Cuissinat over 6 years ago

Il y a encore un souci à la première instance... le pretemplate 00-web est appelé avant la génération des certificats !

#4 Updated by Luc Bourdot over 6 years ago

  • Parent task set to #9238

#5 Updated by Fabrice Barconnière over 6 years ago

root@scribe:~# ll /usr/local/share/ca-certificates/menesr/
total 8
drwxr-sr-x 2 root staff 4096 oct.  16 10:04 ./
drwxrwsr-x 3 root staff 4096 sept. 29 21:30 ../
lrwxrwxrwx 1 root staff   54 sept. 29 21:30 ACInfraEducation.crt -> /usr/share/ca-certificates/menesr/ACInfraEducation.crt
lrwxrwxrwx 1 root staff   57 oct.  16 10:04 education_nationale.pem -> /usr/share/ca-certificates/menesr/education_nationale.pem
lrwxrwxrwx 1 root staff   59 oct.  16 10:04 enseignement_scolaire.pem -> /usr/share/ca-certificates/menesr/enseignement_scolaire.pem
lrwxrwxrwx 1 root staff   53 oct.  16 10:04 infrastructures.pem -> /usr/share/ca-certificates/menesr/infrastructures.pem

root@scribe:~# update-ca-certificates 
Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.

Seul ACInfraEducation.pem est présent dans /etc/ssl/certs/
Après un reconfigure 0211227V-amon_ca_chain.crt reste vide
root@scribe:~# ll /etc/ssl/certs/0211227V-amon*
-rw-r--r-- 1 root root    0 oct.  17 08:22 /etc/ssl/certs/0211227V-amon_ca_chain.crt
-rw-r--r-- 1 root root 1675 oct.  15 08:50 /etc/ssl/certs/0211227V-amon.key
-rw-r--r-- 1 root root 2217 oct.  15 08:50 /etc/ssl/certs/0211227V-amon.pem

openssl s_client -connect leparc.ac-dijon.fr:443 -showcerts
CONNECTED(00000003)
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=FR/O=Ministere Education Nationale (MENESR)/OU=110 043 015/OU=ac-dijon/CN=leparc.ac-dijon.fr
   i:/C=FR/O=Ministere education nationale (MENESR)/OU=110 043 015/CN=AC Infrastructures
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=FR/O=Ministere Education Nationale (MENESR)/OU=110 043 015/OU=ac-dijon/CN=leparc.ac-dijon.fr
issuer=/C=FR/O=Ministere education nationale (MENESR)/OU=110 043 015/CN=AC Infrastructures
---
No client certificate CA names sent
---
SSL handshake has read 2471 bytes and written 427 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: BDC7975D9D584AF3F6B72BC8EA5941B5570233D113807DBE5758FDAF69F8135D
    Session-ID-ctx: 
    Master-Key: E3C0FD26412B4EE4992AE55A474A1A257D43FDA9B7940A54E7C184533DE802A3178B0E3CCE489AC4DEAB96D4848ACDDE
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 15 fe b9 25 fb b9 1d 3d-bb 78 4f 56 0a 06 00 c4   ...%...=.xOV....
    0010 - 8b 78 86 82 65 d9 ac 0d-77 d0 b2 d4 36 f4 71 0d   .x..e...w...6.q.
    0020 - b7 71 cc b9 77 01 57 4f-ab 19 e8 a3 63 b0 6f 16   .q..w.WO....c.o.
    0030 - 87 6d f2 3f 79 28 e5 76-95 62 d5 78 dc 7a b2 f8   .m.?y(.v.b.x.z..
    0040 - 20 ec 45 50 3b 21 32 8a-2e 86 4c 96 f4 e1 57 19    .EP;!2...L...W.
    0050 - 96 49 a8 f7 e1 ea 69 02-3b f0 f5 e7 1d b4 9c cb   .I....i.;.......
    0060 - 92 de 3a fe 1d ef bc 95-c5 89 5e 56 0a d4 53 4d   ..:.......^V..SM
    0070 - 6e 83 c1 7e ba e7 56 a8-be 0a 96 2b b1 19 42 3f   n..~..V....+..B?
    0080 - 50 b6 b0 5d 66 41 44 76-3e 54 67 ad f4 10 6b 5f   P..]fADv>Tg...k_
    0090 - 8e 4e 8b c8 ff 79 b5 8a-e4 2a 3d 30 9c 81 f5 3d   .N...y...*=0...=
    00a0 - ac 60 1d c2 38 99 32 62-b3 43 a4 5f 08 1d a0 55   .`..8.2b.C._...U
    00b0 - 2f 13 76 0a 7e 1c 4a be-a5 f7 c0 86 3c 1a d4 75   /.v.~.J.....<..u

    Start Time: 1413527414
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
closed

#6 Updated by Fabrice Barconnière over 6 years ago

Le script update-ca-certificates ne recherche que les fichiers avec extension .crt, les .pem ne sont donc pas pris en compte. D'autre part le fichier ACInfrastructure.crt contient déjà toute la chaine.
Dans ACInfrastructure.crt j'ai conservé uniquement le premier : Subject: C=FR, O=Ministere education nationale (MENESR), OU=110 043 015, CN=AC Infrastructures
Les autres fichiers ont été renommés en .crt

root@scribe:/etc/ssl/certs# update-ca-certificates 
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate ca_local.crt
WARNING: Skipping duplicate certificate ca_local.crt
WARNING: Skipping duplicate certificate eole.pem
WARNING: Skipping duplicate certificate eole.pem
WARNING: Skipping duplicate certificate infrastructures.pem
WARNING: Skipping duplicate certificate infrastructures.pem
WARNING: Skipping duplicate certificate 0211227V-amon_ca_chain.crt
WARNING: Skipping duplicate certificate 0211227V-amon_ca_chain.crt
4 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.

root@scribe:/etc/ssl/certs# ls -l ACInfraEducation.pem infrastructures.pem enseignement_scolaire.pem education_nationale.pem 
lrwxrwxrwx 1 root root 60 oct.  17 09:14 ACInfraEducation.pem -> /usr/local/share/ca-certificates/menesr/ACInfraEducation.crt
lrwxrwxrwx 1 root root 63 oct.  17 09:14 education_nationale.pem -> /usr/local/share/ca-certificates/menesr/education_nationale.crt
lrwxrwxrwx 1 root root 65 oct.  17 09:14 enseignement_scolaire.pem -> /usr/local/share/ca-certificates/menesr/enseignement_scolaire.crt
lrwxrwxrwx 1 root root 59 oct.  17 09:14 infrastructures.pem -> /usr/local/share/ca-certificates/menesr/infrastructures.crt

Il reste un problème :
root@scribe:/etc/ssl/certs# /etc/init.d/apache2 restart
Syntax error on line 7 of /etc/apache2/sites-enabled/Vhost-ssl:
SSLCertificateChainFile: file '/etc/ssl/certs/0211227V-amon_ca-chain.crt' does not exist or is empty
Action 'configtest' failed.
The Apache error log may have more information.
   ...fail!

le fichier s'appelle 0211227V-amon_ca_chain.crt, il y a une erreur de syntaxe sur le nom.

#7 Updated by Benjamin Bohard over 6 years ago

  • Status changed from En cours to Résolu
  • Remaining (hours) changed from 1.0 to 0.5

#8 Updated by Lionel Morin over 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF