Welcome to OCS Inventory NG community support, where you can ask questions and receive answers from other members of the community.

Please ask questions only in English or French.

Release 2.5 available

The official documentation can be found on http://wiki.ocsinventory-ng.org. Read it before asking your question.

[Certificat] Problème avec un certificat générique

Bonjour tout le monde,

J'utilise le protocole HTTPS pour la communication clients/serveur.  Pour cela, j'ai un certificat (fournit par une autorité de certification) avec comme CN : *.mon_nom_de_domaine.com. C'est une clé publique qui peut être utilisée avec plusieurs sous-domaines d'un domaine (certificat générique, Wildcard).

Problème : Les agents (v2.1.1.1) n'arrivent pas à dialoguer avec le serveur. Ci-dessus une partie de mon fichier de log d'un agent.

================= TRACE START ===============

================= TRACE STOP ===============
ERROR *** AGENT => Failed to send Prolog <Peer certificate cannot be authenticated with known CA certificates>
AGENT => Unloading communication provider
AGENT => Unloading plug-in(s)
AGENT => Execution duration: 00:00:01.

Je me demande si le problème ne viendrait pas de mon CN. Qu'en pensez-vous ? OCS inventory gère-t-il se cas de figure ?

Pour info, sur mon serveur OCS (Centos 7, OCS inventory 2.1.2), dans mon fichier SSL.conf j'ai renseigné

  <VirtualHost *:443>
    ServerName serveur.exemple.com:443
    ServerAlias *.exemple.com
    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/ca.crt
    SSLCertificateKeyFile /etc/pki/tls/private/ca.key
    SSLCertificateChainFile /etc/pki/tls/chainfile/chainefileCA.txt

...

D'avance merci pour votre retour.

asked in OCS Inventory NG server for Unix by (1.1k points)

3 Answers

0 votes
Effectivement l'agent windows gère super mal les wildcard ssl. En attendant tu peux utiliser un certificat autosigné. En effet le certificat ici ne sert pas à cacher les informations sur le réseau mais simplement à vérifier que ton agent à bien la clef publique associé à la clef privé du serveur. Du coup utiliser une authorité de certification ne sert à rien.
answered by (19.3k points)
0 votes
Bonjour,

Tout d'abord merci pour la réponse. Malheureusement, je ne peux pas utiliser un certificat autosigné car j'ai dans l'obligation d'utiliser un certificat fournit par une autorité de certification. Les utilisateurs ne doivent pas avoir d'erreur de sécurité lorsqu'ils se connectent à l'interface d'administration. Je n'ai donc pas d'autre choix.

Lorsque vous dites que l'agent Windows gère super mal les Wildcard, est-ce que ca signifie que cela ne vaut même pas le coup d'essayer ? Je pensais qu'en indiquant un serverAlias dans mon fichier de conf SSL cela allait résoudre le problème mais non.
answered by (1.1k points)
0 votes
Bonjour, je ne sais pas si la solution que j'ai peux servir mais elle peut éventuellement donnée des idées.

J'ai eu le même soucis que toi avec l'obligation d'utiliser un certificat signé par une CA. La différence que je vais avoir avec toi est le fait que l'entreprise dispose d'un CA à elle.

Pour mettre en place et faire communiquer les agents en HTTPS (j'ai galérer plusieurs jours oui.. ^^") j'ai fais quelques configurations. Il m'a fallu le certificat du CA, le certificat que j'ai demandé pour le serveur, et la clé du certificat pour le serveur.

j'ai renseigner dans mon fichier */sites-available/ssl :

SSLCertificateFile /chemin/certificatserveur.crt

SSLCertificateKeyFile /chemin/certificatserveurclé.key

SSLCertificateChainFile /chemin/certificatCA.crt

Ensuite j'ai transmis aux agents (via GPO/MSI) un package avec comme certificat (et renommé en cacert.pem) le certificatCA.crt

Et la mes agents ont communiqué avec le serveur.

Voila voila !
answered by (340 points)

Bonjour,

Merci d'avoir pris le temps de me répondre. Mes agents arrivent bien à communiquer avec mon serveur lorsque j'utilise un certificat auto-signé. Ce qui sous-entend que ma configuration client/serveur est correct (fichier de conf SSL, certificat etc..) .

Le problème que je rencontre et, lorsque j'utilise le certificat fournit par la société cela ne fonctionne plus. Effectivement, le CN du certificat ressemble à ceci : *.nomdedomaine.fr. C'est un Wildcard.

L'agent OCS n'apprécie guère les Wildcard.

Bref, pour contourner le problème, j'ai utilisé un certificat auto-signé. La communication client/serveur fonctionne sans problème en HTTPS. C'est juste que les utilisateurs se retrouvent avec un message d'avertissement dans le navigateur web (car le certificat n'a pas été signé par une CA).

 
Powered by Question2Answer
...