Koozali.org: home of the SME Server

Certificat auto-signé

Offline pberg

  • 6
  • +0/-0
Certificat auto-signé
« on: November 02, 2022, 05:32:48 PM »
Bonjour,
J'ai constaté que le certificat auto-signé du serveur était renouvelé chaque nuit , bien qu'il ait une durée de vie de 365 jours. Cela me pose problème pour utiliser le webmail ou thunderbird, car chaque jour il faut accepter  le nouveau certificat généré.
Dans les logs , voici le message : Oct 31 03:48:05 serveurdor esmith::event[8265]: Processing event: ssl-update
J'ai cherché quel script génère ce renouvellement, mais je ne suis pas compétent pour cela.
Merci d'avance pour l'aide que vous me donnerez.
Cordialement,
Philippe BERG

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certificat auto-signé
« Reply #1 on: November 02, 2022, 10:20:28 PM »
mets à jour ton serveur.

la cause la plus probable est le changement d’ip externe ou l’ajout de domaines ou sous domaines. cela a ete résolu avec les mises à jour pour 10.1.

au passage je te suggere fortement de mettre la contribs smeserver-letsencrypt pour avoir un certificat reconnu de tous.

Offline pberg

  • 6
  • +0/-0
Re: Certificat auto-signé
« Reply #2 on: November 03, 2022, 09:17:26 AM »
Merci pour la réponse rapide. Je dois cependant préciser que je mets à jour le serveur chaque semaine. Ma version est bien la 10.1 .
Mon serveur est configuré en serveur seul dans un réseau local derrière un routeur Mikrotik et je n'avais pas ce problème avec les version précédentes de SME.
J'utilise le serveur pour les fichiers et le serveur mail dans un réseau d'une petite PME qui comprend trois postes. J'ai un domaine chez OVH et mon réseau local est un sous-domaine de ce réseau. C'est pour cette raison que le certificat auto-signé me convient.
Je ne comprends pas quel script lance la mise à jour du certificat.
Merci pour la bonne suite.
 

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certificat auto-signé
« Reply #3 on: November 03, 2022, 12:26:45 PM »
le certificat auto signé contient toutes les ip du serveur et tous les domaines et sous domaines assignés au serveur. 
si un seul change, le certificat est auto-généré. 


le script faisant etat des domaines et ips est
Code: [Select]
/sbin/e-smith/generate-subjectaltnames
il est appelé par le template générant le certificat, lui meme appelé par un cron.

tu peux comparer entre deux jours ou le certificat a changé ce qui a changé. 


l’explication de ton architecture me donne vraiment plus de raison d’utiliser un certificat let’s encrypt que l’inverse !
la seule raison où cela ferait du sens serait de ne pas avoir de domaine enregistré !
« Last Edit: November 03, 2022, 12:28:22 PM by Jean-Philippe Pialasse »

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certificat auto-signé
« Reply #4 on: November 03, 2022, 01:16:43 PM »
au passage une autre raison peut etre un conflit de taille de clef de signature.  regarde ton log message entre minuit et 2 heure du matin c’est dans cette tranche que le certificat est vérifié. 

Offline pberg

  • 6
  • +0/-0
Re: Certificat auto-signé
« Reply #5 on: November 03, 2022, 07:52:36 PM »
Voici les logs de message entre 0h00 et le moment ou le certificat est renouvelé:
Nov  3 00:00:01 serveurdor su: (to qmailr) root on none
Nov  3 00:15:01 serveurdor su: (to qmailr) root on none
Nov  3 00:30:01 serveurdor su: (to qmailr) root on none
Nov  3 00:45:01 serveurdor su: (to qmailr) root on none
Nov  3 01:00:01 serveurdor su: (to qmailr) root on none
Nov  3 01:15:01 serveurdor su: (to qmailr) root on none
Nov  3 01:30:01 serveurdor su: (to qmailr) root on none
Nov  3 01:45:01 serveurdor su: (to qmailr) root on none
Nov  3 02:00:01 serveurdor su: (to qmailr) root on none
Nov  3 02:15:01 serveurdor su: (to qmailr) root on none
Nov  3 02:30:01 serveurdor su: (to qmailr) root on none
Nov  3 02:45:01 serveurdor su: (to qmailr) root on none
Nov  3 03:00:01 serveurdor su: (to qmailr) root on none
Nov  3 03:09:03 serveurdor esmith::event[4240]: Processing event: ssl-update
Nov  3 03:09:03 serveurdor esmith::event[4240]: Running event handler: /etc/e-smith/events/actions/generic_template_expand
Nov  3 03:09:03 serveurdor esmith::event[4240]: expanding /etc/proftpd.conf
Nov  3 03:09:03 serveurdor esmith::event[4240]: expanding /etc/dovecot/dovecot.conf
Nov  3 03:09:03 serveurdor esmith::event[4240]: expanding /etc/dovecot/ssl/imapd.pem
Nov  3 03:09:03 serveurdor esmith::event[4240]: expanding /etc/raddb/certs/radiusd.pem
Nov  3 03:09:03 serveurdor esmith::event[4240]: expanding /etc/httpd/conf/httpd.conf
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /etc/openldap/ssl/slapd.pem
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /var/service/qpsmtpd/config/tls_before_auth
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /var/service/qpsmtpd/config/tls_ciphers
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /var/service/qpsmtpd/config/tls_protocols
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /var/service/qpsmtpd/ssl/cert.pem
Nov  3 03:09:04 serveurdor esmith::event[4240]: expanding /home/e-smith/ssl.pem/pem
Nov  3 03:09:04 serveurdor esmith::event[4240]: generic_template_expand=action|Event|ssl-update|Action|generic_template_expand|Start|1667441343 334444|End|1667441344 769979|Elapsed|1.435535
Nov  3 03:09:04 serveurdor esmith::event[4240]: Running event handler: /etc/e-smith/events/actions/adjust-services
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised dovecot (start)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised dovecot (sigusr1)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised dovecot (sighup)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised qpsmtpd (start)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised qpsmtpd (sighup)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised sqpsmtpd (start)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised sqpsmtpd (sighup)
Nov  3 03:09:04 serveurdor esmith::event[4240]: adjusting non-supervised radiusd (restart)
Nov  3 03:09:05 serveurdor esmith::event[4240]: adjusting non-supervised httpd-e-smith (start)
Nov  3 03:09:05 serveurdor esmith::event[4240]: adjusting non-supervised httpd-e-smith (reload)
Nov  3 03:09:05 serveurdor esmith::event[4240]: adjusting non-supervised ftp (stop)
Nov  3 03:09:05 serveurdor esmith::event[4240]: adjusting non-supervised ldap (restart)

Offline pberg

  • 6
  • +0/-0
Re: Certificat auto-signé
« Reply #6 on: November 04, 2022, 09:17:46 AM »
Bonjour,
En modifiant les paramètres de LDAP à 19:00 , le certificat a été renouvelé comme c'est prévu, mais cette fois il n'y a pas eu de mise à jour dans la nuit. Je vais attendre ce soir pour vérifier ..
Je te tiens au courant.

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certificat auto-signé
« Reply #7 on: November 04, 2022, 12:58:15 PM »
effectivement il pouvait y avoir un bug de renouvellement si certains champs étaient vides ou manquant.

apparement pas reglé.

si tu peux retrouver la ligne dans tes logs d’avant/ apres et ouvrir un bug si cela resoud la situation, on pourra corriger cela.

merci

Offline pberg

  • 6
  • +0/-0
Re: Certificat auto-signé
« Reply #8 on: November 05, 2022, 09:58:49 AM »
Tout semble OK maintenant que j'ai modifié le champ Dept de la base LDAP en enlevant une apostrophe.
Voici ce que j'ai trouvé dans les logs :
Logs LDAP par exemple du 22/10/22 :
Oct 22 03:40:06 serveurdor slapd: 635349f6 slapd stopped.
Oct 22 03:40:06 serveurdor slapd: 635349f6 @(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $
Oct 22 03:40:06 serveurdor slapd: mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
Oct 22 03:40:06 serveurdor slapd: TLSMC: MozNSS compatibility interception begins.
Oct 22 03:40:06 serveurdor slapd: tlsmc_convert: INFO: cannot open the NSS DB, expecting PEM configuration is present.
Oct 22 03:40:06 serveurdor slapd: tlsmc_intercept_initialization: INFO: successfully intercepted TLS initialization. Continuing with OpenSSL only.
Oct 22 03:40:06 serveurdor slapd: TLSMC: MozNSS compatibility interception ends.
Oct 22 03:40:06 serveurdor slapd: 635349f6 bdb_monitor_db_open: monitoring disabled; configure monitor database to enable
Oct 22 03:40:06 serveurdor slapd: 635349f6 slapd starting

en parallèle des logs de message du 22/10/22 :
Oct 22 03:40:04 serveurdor esmith::event[8230]: Processing event: ssl-update
Oct 22 03:40:04 serveurdor esmith::event[8230]: Running event handler: /etc/e-smith/events/actions/generic_template_expand
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/proftpd.conf
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/dovecot/dovecot.conf
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/dovecot/ssl/imapd.pem
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/raddb/certs/radiusd.pem
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/httpd/conf/httpd.conf
Oct 22 03:40:04 serveurdor esmith::event[8230]: expanding /etc/openldap/ssl/slapd.pem
Oct 22 03:40:05 serveurdor esmith::event[8230]: expanding /var/service/qpsmtpd/config/tls_before_auth
Oct 22 03:40:05 serveurdor esmith::event[8230]: expanding /var/service/qpsmtpd/config/tls_ciphers
Oct 22 03:40:05 serveurdor esmith::event[8230]: expanding /var/service/qpsmtpd/config/tls_protocols
Oct 22 03:40:05 serveurdor esmith::event[8230]: expanding /var/service/qpsmtpd/ssl/cert.pem
Oct 22 03:40:05 serveurdor esmith::event[8230]: expanding /home/e-smith/ssl.pem/pem
....
Si cela peux t'aider.
Dans la version 9 , je n'avais pas ce problème.

Merci beaucoup pour ton aide.
Le post peux être fermé.
Bonne journée.

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certificat auto-signé
« Reply #9 on: November 05, 2022, 12:49:40 PM »
s’il te plait ouvre un bug sur bugs.koozali.org.

il doit y’avoir un bug en effet sur pa gestion des champs avec des apostrophes qui ne sont pas supportées dans un certificat.

Offline pberg

  • 6
  • +0/-0
Re: Certificat auto-signé
« Reply #10 on: November 05, 2022, 02:41:27 PM »
J'ai ouvert un bug.

Online ReetP

  • *
  • 3,722
  • +5/-0
Re: Certificat auto-signé
« Reply #11 on: November 05, 2022, 07:01:43 PM »
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation