Bonjour,
Je suis en train de mettre un place un serveur Web pour une gestion de parc OCS/GLPI.
Pour l'agent OCS, j'ai besoin d'un certificat afin qu'il puisse être sur qu'il envoie ses info au bon serveur.
Pour cela, j'ai créé une clé privée, et une demande de signature pour la clé publique.
openssl req -newkey rsa:2048 -outform PEM -out serveur.csr -keyout serveur.key -keyform PEM -nodes
J'ai transmis mon fichier .csr à la pki de l'entreprise sous Windows !
J'ai bien reçu mon certificat signé par l'autorité de certification de la pki.
Je l'ai installé sur mon serveur.
Mes postes client arrivent bien sur le site que fait tourné ce serveur sans avertissement sur le certificat.
Par contre, mon agent OCS n'y arrive pas à faire ses remonté.
J'ai trouvé le problème : mon serveur ne peux pas validé le certificat auprès de l'autorité racine.
En effet, lorsque je demande une vérification du certificat, voici ce qu'il me répond :
[root@serveur ~]# openssl verify serveur.pem
serveur.pem: /C=FR/ST=France/L=XXXXXX/O=XXXXXX/CN=serveur
error 20 at 0 depth lookup:unable to get local issuer certificate
Mais lorsque je lui demande de vérifier le certificat en lui indiquant le certificat racine de confiance, là tout est OK :
[root@serveur ~]# openssl verify -CAfile CA_pki.cer serveur.pem
serveur.pem: OK
Voici enfin ma question : où mettre mon fichier CA_pki.cer ou quel fichier de conf dois-je paramétrer afin que mon serveur puisse valider automatiquement mon certificat serveur.pem ?
Merci pour votre aide. (Après plusieurs heures de recherche sur internet, vous êtes mon dernier espoir ;-) ).
Alfafa
# /etc/apache2/ssl
Posté par tontonrico . Évalué à 2.
Bonjour,
Chez moi le certificat est dans /etc/apache2/ssl. C'est sur un serveur Debian 5.0.8 avec OCSng 1.3.2.
Il faut aussi que ton virtualhost soit configuré pour chercher le certificat au bon endroit ...
Si ça peut aider...
[^] # Re: /etc/apache2/ssl
Posté par alfafa . Évalué à 1.
Merci,
J'ai oublié de précisé que j'étais sur une Centos 5.6
Mon fichier ssl.conf contient bien les emplacements des fichiers de certificat :
/etc/httpd/conf.d/ssl.conf :
à suivre...
# Le serveur n'a pas besoin de valider son propre certificat ...
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 0.
... Mais l'agent oui.
Je doute que ce soit le problème, si ton agent OCS n'arrive pas à se connecter à ton serveur c'est que ton agent
n'accepte pas le certificat SSL et donc que tu a mal configuré celui-ci:
http://www.systemx.fr/linux/supervision/ocsinventory#prepare
[^] # Re: Le serveur n'a pas besoin de valider son propre certificat ...
Posté par alfafa . Évalué à 1.
Ca marchait nickel avec mon serveur de test avec lequel j'avais autosigné le certificat.
Maintenant avec un certificat signé par un autre, ça ne marche plus.... :-(
Mais j'en avais ch... pour le mettre en service. Peux-être que j'ai oublié un paramètre quelque part dans un fichier....
[^] # Re: Le serveur n'a pas besoin de valider son propre certificat ...
Posté par NeoX . Évalué à 2.
il faut que le CLIENT puisse verifier le certificat du serveur,
c'est donc au CLIENT d'avoir le CA.crt
# Erreur de manipulation de certificat.
Posté par alfafa . Évalué à 0.
Sur mon serveur de test, je créais un certificat auto-signé. Les remontées marchaient super bien.
J'ai testé de lui mettre un certificat signé par ma pki windows, ça ne marche plus.
Conclusion :
Ma méthode pour mettre ce certificat en place est mauvaise.
J'ouvre un nouveau sujet pour ça.
Merci pour votre aide, vous m'avez aidé à y voir un peu plus clair.
# Contourné
Posté par alfafa . Évalué à 0.
Cf http://linuxfr.org/nodes/86971/comments/1258189
Je n'ai pas besoin de certificat signé !
Merci pour vos contributions.
Alfafa
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.