• 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Erreur de certificat SSL
#1
Bonjour,

Je suis en train de tester fusioninventory en SSL/HTTPS en m'appuient sur une CA d'entreprise.
L’installation de la clé et du certificat sur le serveur n’a pas posé de problème et l’interface web fonctionne en https.


Je rencontre un problème coté agent :

Code:
C:\Program Files\FusionInventory-Agent>fusioninventory-agent.bat --debug
the 'rpc-port' option is deprecated, use --httpd-port option instead
the 'rpc-trust-localhost' option is deprecated, use --httpd-trust 127.0.0.1 option instead
[debug] Logger backend File initialised
[debug] FusionInventory unified agent for UNIX, Linux and MacOSX (2.2.7-2)
[debug] Configuration directory: ../../etc
[debug] Data directory: ../../share
[debug] Storage directory: ../../var
[debug] Lib directory: ../agent
[debug] [target server0] Next server contact planned for Fri Jan 11 17:47:15 2013
[debug] Available tasks:
[debug] - ESX: 2.2.0
[debug] - Inventory: 1.0
[debug] - WakeOnLan: 1.0
[debug] - NetDiscovery: 2.2.0
[debug] - Deploy: 2.0.4
[debug] - NetInventory: 2.2.0
[debug] FusionInventory Agent initialised
[debug] [http client] Using Compress::Zlib for compression
[error] [http client] communication error: 500 Can't connect to glpi:443
(SSL connect attempt failed with unknown errorerror:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed)
[fault] No answer from the server at ../agent/FusionInventory/Agent.pm line 248.

Pourtant le fichier .crt placé coté client est bien le même que celui du serveur.

PS : La même opération avec l'argument "--no-ssl-check" n'engendre aucun problème
Centos release 6.3 / GLPI 0.83.7 / fusioninventory-for-glpi-metapackage 0.83+2.1 / FusionInventory Agent 2.1.14
  Reply
#2
faudrait la configuration de l'agent pour pouvoir répondre :p
Co-leader, official developper
DCS official PARTNER: dcs.glpi@dcsit-group.com
  Reply
#3
Il faudrait essayer le .crt avec la commande curl pour s'assurer déjà que tout marche comme prévu.
Please contact Fusioninventory Partners companies if you look for a FusionInventory on site expert.
http://www.fusioninventory.org/partners/
  Reply
#4
goneri Wrote:Il faudrait essayer le .crt avec la commande curl pour s'assurer déjà que tout marche comme prévu.

Merci pour cette suggestion:

Afin de faciliter le diagnostique, je me suis finalement tourné vers un certificat sef-signé.

J’ai suivi à la lettre cette documentation : http://www.fusioninventory.org/documentation/fi4g/ssl/

Je n’ai pas utilisé le FQDN de la machine mais son IP (afin de simplifier un peu plus…)
Puis j’ai testé via la commande curl sous linux.
Code:
[root@linux tmp]# curl https://10.1.1.1 --cacert /etc/fusioninventory/10.1.1.1-self.crt
--> Pas de problème
Code:
[root@linux tmp]# fusioninventory-agent --ca-cert-file=/etc/fusioninventory/10.1.1.1-self.crt -s=https://10.1.1.1/glpi/plugins/fusioninventory/front/plugin_fusioninventory.communication.php
Protocol spec without prior Class and Subclass spec at line 4297
[root@linux tmp]#
--> Pas de problème
Code:
[root@linux tmp]# fusioninventory-agent -v
FusionInventory Agent (2.1.14)
[root@linux tmp]#
Sous Windows :
Code:
C:\Program Files\FusionInventory-Agent>fusioninventory-agent.bat --ca-cert-file=10.1.1.1-self.crt -s=https://10.1.1.1/glpi/plugins/fusioninventory/front/plugin_fusioninventory.communication.php --debug
the 'rpc-port' option is deprecated, use --httpd-port option instead
the 'rpc-trust-localhost' option is deprecated, use --httpd-trust 127.0.0.1 option instead
[debug] Logger backend File initialised
[debug] FusionInventory unified agent for UNIX, Linux and MacOSX (2.2.7-2)
[debug] Configuration directory: ../../etc
[debug] Data directory: ../../share
[debug] Storage directory: ../../var
[debug] Lib directory: ../agent
[debug] [target server0] Next server contact planned for Mon Jan 14 10:34:48 2013
[debug] Available tasks:
[debug] - ESX: 2.2.0
[debug] - Inventory: 1.0
[debug] - WakeOnLan: 1.0
[debug] - NetDiscovery: 2.2.0
[debug] - Deploy: 2.0.4
[debug] - NetInventory: 2.2.0
[debug] FusionInventory Agent initialised
[debug] [http client] Using Compress::Zlib for compression
[error] [http client] communication error: 500 Can't connect to 10.1.1.1:443
(SSL connect attempt failed with unknown errorerror:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed)
[fault] No answer from the server at ../agent/FusionInventory/Agent.pm line 248.

J'imagine que si il y avait un bug de l'agent sous Windows, je ne serais pas seul... Mais d'où pourrait venir ce problème ?
Centos release 6.3 / GLPI 0.83.7 / fusioninventory-for-glpi-metapackage 0.83+2.1 / FusionInventory Agent 2.1.14
  Reply
#5
As tu regardé un peu la page suivante : http://www.fusioninventory.org/documenta...y_and_ssl/
Please contact Fusioninventory Partners companies if you look for a FusionInventory on site expert.
http://www.fusioninventory.org/partners/
  Reply
#6
Voici les résulats après test :
[root@glpi sslcrt]# openssl x509 -noout -text -in 10.1.1.1-self.crt | grep Signature
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
[root@glpi sslcrt]#

N'est-ce pas cohérant ?
Centos release 6.3 / GLPI 0.83.7 / fusioninventory-for-glpi-metapackage 0.83+2.1 / FusionInventory Agent 2.1.14
  Reply
#7
Le problème SHA1 sur les signatures ne devrait pas avoir lieu sur Windows car la version de OpenSSL est à jour. ça doit venir d'autre chose, ça dit quoi :

openssl s_client -state -cert toto.pem -connect 10.1.1.1:443

toto.pem est le certificat.
Please contact Fusioninventory Partners companies if you look for a FusionInventory on site expert.
http://www.fusioninventory.org/partners/
  Reply
#8
Je suis presque sur de ne pas avoir compris ce qui m'était demandé....

Depuis le serveur glpi j'ai lancé les commandes :

Code:
[root@glpi sslcrt]# openssl s_client -cert 10.1.1.1-self.key -connect 10.1.1.1:443
unable to load certificate
140555056105288:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
[root@glpi sslcrt]#
1er cas 10.1.1.1-self.key est le certificat privée.

Code:
[root@glpi sslcrt]# openssl s_client -cert 10.1.1.1-self.crt -connect 10.1.1.1:443
unable to load client certificate private key file
139914674603848:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: ANY PRIVATE KEY
[root@glpi sslcrt]#

2ème cas 10.1.1.1-self.cert est le certificat publique.
Centos release 6.3 / GLPI 0.83.7 / fusioninventory-for-glpi-metapackage 0.83+2.1 / FusionInventory Agent 2.1.14
  Reply
#9
Hum, je crois que j'ai mélangé avec -CAfile. Désolé.
Please contact Fusioninventory Partners companies if you look for a FusionInventory on site expert.
http://www.fusioninventory.org/partners/
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)