Tâche #9101
Distribution EOLE - Scénario #9238: Demandes critiques 2.4.1
Le fichier "eole_ca-chain.crt" n'est pas généré sur 2.4
Description
Depuis la dernière mise à jour d'eole-web, le service apache2 ne fonctionne plus.
Les logs indiquent l'erreur suivante :
Syntax error on line 7 of /etc/apache2/sites-enabled/Vhost-ssl: SSLCertificateChainFile: file '/etc/ssl/certs/eole_ca-chain.crt' does not exist or is empty
Demandes liées
Révisions associées
- pretemplate/00-web : utilisation de $CERT partout
Ref: #9101 @20m [2.3]
- pretemplate/00-web : utilisation de CreoleGet et $CERT
Fixes: #9101 @30m [2.4]
Rétro-portage des fonctions pour créer les chaînes de certificats
Ref #9101 @15m
Rétro-portage des directives de création de certificats.
Ref #9101 @30m
SSLCertificateChainFile utilisable uniquement avec des certificats intermédiaires.
Ref #9101 @30m
Correction du Makefile.
Ref #9101 @10m
Correction du Makefile.
Ref #9101 @10m
Exclure les fichiers contenant les chaines de la liste.
Ref #9101 @1h
Type dans un nom de fichier et nettoyage pretemplate.
Ref #9101 @30m
Ajout de fonction pour générer des chaînes de certificat.
La génération d'une chaîne de certificat correspondant à un certificat donné
est mise à disposition des fragments de code posés dans /usr/share/eole/certs
à travers une fonction générant un catalogue sommaire des certificats présents
dans /etc/ssl/certs, une fonction établissant la liste complète des certificats
formant une chaîne et une fonction ne conservant que les certificats
intermédiaires.
Ref #9101 @5.5h
Traduction du message ajouté.
Ref #9101 @20m
Ajout d'un commentaire pour expliquer les imports non utilisés.
Ref #9101 @5m
Directives pour créer les fichiers nécessaires à l'utilisation de SSL par apache.
Ref #9101 @1h
Suppression de l'ancien script de génération des chaînes de certificats.
Ref #9101 @5m
Ajout des certificats sous forme de fichiers individuels.
Ref #9101 20m
À l'instance, ssl_dir n'est pas connu.
Ref #9101 @10m
Condition pour l'utilisation de l'option SSLCertificateChainFile.
Ref #9101 @10m
Les certificats ne sont pas pris en charge par update-ca-certificates.
Les certificats doivent être dans /usr/local/share/ca-certificates.
Les liens sont faits au postinstall.
Ref #9101 @50m
Seuls les *.crt sont pris en compte par update-ca-certificates.
Ref #9101 @5m
Seules les fichiers *.crt sont pris en compte par update-ca-certificates.
Ref #9101 @20m
Typo dans le nom d'un fichier.
Ref #9101 @5m
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Statut changé de Nouveau à Résolu
- Début mis à 30/09/2014
- % réalisé changé de 0 à 100
Appliqué par commit 6724c91791d3f97702f12bed2ff81d461e7bb492.
#2 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Statut changé de Résolu à En cours
- Version cible mis à sprint 2014 40-41
#3 Mis à jour par Joël Cuissinat il y a plus de 9 ans
Il y a encore un souci à la première instance... le pretemplate 00-web est appelé avant la génération des certificats !
#4 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Tâche parente mis à #9238
#5 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
root@scribe:~# ll /usr/local/share/ca-certificates/menesr/ total 8 drwxr-sr-x 2 root staff 4096 oct. 16 10:04 ./ drwxrwsr-x 3 root staff 4096 sept. 29 21:30 ../ lrwxrwxrwx 1 root staff 54 sept. 29 21:30 ACInfraEducation.crt -> /usr/share/ca-certificates/menesr/ACInfraEducation.crt lrwxrwxrwx 1 root staff 57 oct. 16 10:04 education_nationale.pem -> /usr/share/ca-certificates/menesr/education_nationale.pem lrwxrwxrwx 1 root staff 59 oct. 16 10:04 enseignement_scolaire.pem -> /usr/share/ca-certificates/menesr/enseignement_scolaire.pem lrwxrwxrwx 1 root staff 53 oct. 16 10:04 infrastructures.pem -> /usr/share/ca-certificates/menesr/infrastructures.pem
root@scribe:~# update-ca-certificates Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d....done.
Seul
ACInfraEducation.pem est présent dans /etc/ssl/certs/Après un reconfigure
0211227V-amon_ca_chain.crt reste videroot@scribe:~# ll /etc/ssl/certs/0211227V-amon* -rw-r--r-- 1 root root 0 oct. 17 08:22 /etc/ssl/certs/0211227V-amon_ca_chain.crt -rw-r--r-- 1 root root 1675 oct. 15 08:50 /etc/ssl/certs/0211227V-amon.key -rw-r--r-- 1 root root 2217 oct. 15 08:50 /etc/ssl/certs/0211227V-amon.pem
openssl s_client -connect leparc.ac-dijon.fr:443 -showcerts
CONNECTED(00000003)
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = FR, O = Ministere Education Nationale (MENESR), OU = 110 043 015, OU = ac-dijon, CN = leparc.ac-dijon.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=FR/O=Ministere Education Nationale (MENESR)/OU=110 043 015/OU=ac-dijon/CN=leparc.ac-dijon.fr
i:/C=FR/O=Ministere education nationale (MENESR)/OU=110 043 015/CN=AC Infrastructures
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=FR/O=Ministere Education Nationale (MENESR)/OU=110 043 015/OU=ac-dijon/CN=leparc.ac-dijon.fr
issuer=/C=FR/O=Ministere education nationale (MENESR)/OU=110 043 015/CN=AC Infrastructures
---
No client certificate CA names sent
---
SSL handshake has read 2471 bytes and written 427 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.1
Cipher : DHE-RSA-AES256-SHA
Session-ID: BDC7975D9D584AF3F6B72BC8EA5941B5570233D113807DBE5758FDAF69F8135D
Session-ID-ctx:
Master-Key: E3C0FD26412B4EE4992AE55A474A1A257D43FDA9B7940A54E7C184533DE802A3178B0E3CCE489AC4DEAB96D4848ACDDE
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 15 fe b9 25 fb b9 1d 3d-bb 78 4f 56 0a 06 00 c4 ...%...=.xOV....
0010 - 8b 78 86 82 65 d9 ac 0d-77 d0 b2 d4 36 f4 71 0d .x..e...w...6.q.
0020 - b7 71 cc b9 77 01 57 4f-ab 19 e8 a3 63 b0 6f 16 .q..w.WO....c.o.
0030 - 87 6d f2 3f 79 28 e5 76-95 62 d5 78 dc 7a b2 f8 .m.?y(.v.b.x.z..
0040 - 20 ec 45 50 3b 21 32 8a-2e 86 4c 96 f4 e1 57 19 .EP;!2...L...W.
0050 - 96 49 a8 f7 e1 ea 69 02-3b f0 f5 e7 1d b4 9c cb .I....i.;.......
0060 - 92 de 3a fe 1d ef bc 95-c5 89 5e 56 0a d4 53 4d ..:.......^V..SM
0070 - 6e 83 c1 7e ba e7 56 a8-be 0a 96 2b b1 19 42 3f n..~..V....+..B?
0080 - 50 b6 b0 5d 66 41 44 76-3e 54 67 ad f4 10 6b 5f P..]fADv>Tg...k_
0090 - 8e 4e 8b c8 ff 79 b5 8a-e4 2a 3d 30 9c 81 f5 3d .N...y...*=0...=
00a0 - ac 60 1d c2 38 99 32 62-b3 43 a4 5f 08 1d a0 55 .`..8.2b.C._...U
00b0 - 2f 13 76 0a 7e 1c 4a be-a5 f7 c0 86 3c 1a d4 75 /.v.~.J.....<..u
Start Time: 1413527414
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
#6 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
Le script update-ca-certificates ne recherche que les fichiers avec extension .crt, les .pem ne sont donc pas pris en compte. D'autre part le fichier ACInfrastructure.crt contient déjà toute la chaine.
Dans ACInfrastructure.crt j'ai conservé uniquement le premier : Subject: C=FR, O=Ministere education nationale (MENESR), OU=110 043 015, CN=AC Infrastructures
Les autres fichiers ont été renommés en .crt
root@scribe:/etc/ssl/certs# update-ca-certificates Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate ca_local.crt WARNING: Skipping duplicate certificate ca_local.crt WARNING: Skipping duplicate certificate eole.pem WARNING: Skipping duplicate certificate eole.pem WARNING: Skipping duplicate certificate infrastructures.pem WARNING: Skipping duplicate certificate infrastructures.pem WARNING: Skipping duplicate certificate 0211227V-amon_ca_chain.crt WARNING: Skipping duplicate certificate 0211227V-amon_ca_chain.crt 4 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d....done.
root@scribe:/etc/ssl/certs# ls -l ACInfraEducation.pem infrastructures.pem enseignement_scolaire.pem education_nationale.pem lrwxrwxrwx 1 root root 60 oct. 17 09:14 ACInfraEducation.pem -> /usr/local/share/ca-certificates/menesr/ACInfraEducation.crt lrwxrwxrwx 1 root root 63 oct. 17 09:14 education_nationale.pem -> /usr/local/share/ca-certificates/menesr/education_nationale.crt lrwxrwxrwx 1 root root 65 oct. 17 09:14 enseignement_scolaire.pem -> /usr/local/share/ca-certificates/menesr/enseignement_scolaire.crt lrwxrwxrwx 1 root root 59 oct. 17 09:14 infrastructures.pem -> /usr/local/share/ca-certificates/menesr/infrastructures.crt
Il reste un problème :
root@scribe:/etc/ssl/certs# /etc/init.d/apache2 restart Syntax error on line 7 of /etc/apache2/sites-enabled/Vhost-ssl: SSLCertificateChainFile: file '/etc/ssl/certs/0211227V-amon_ca-chain.crt' does not exist or is empty Action 'configtest' failed. The Apache error log may have more information. ...fail!
le fichier s'appelle
0211227V-amon_ca_chain.crt, il y a une erreur de syntaxe sur le nom.#7 Mis à jour par Benjamin Bohard il y a plus de 9 ans
- Statut changé de En cours à Résolu
- Restant à faire (heures) changé de 1.0 à 0.5
#8 Mis à jour par Lionel Morin il y a plus de 9 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0