SNMP problème validation certificat

Question

Bonjour,

J'aurais besoin d'aide, car je m'entraine à mettre en place un serveur OCS + GLPI pour ma boite. Pour l'instant je suis toujours en phase de test sous VirtualBox, avant de mettre en prod d'ici 1 mois ou 2 sous VMWare. Et j'ai réussis (un succès n'ayant ya encore 2 mois jamais touché à linux). Sauf pour le SNMP .... J'ai beau fouiller les wikis, docs et forums, je comprends pas ce que j'ai pus rater.

Voici la configuration : Ubuntu 14.04.1, Apache 2 : 2.4.7, Phpmyadmin 4.2.3deb1.trusty~ppa.1, OCS SERVEUR 2.1.2, GLPI 0.85.2.
Le client linux pour faire un scan SNMP est un serveur 14.04.1 avec uniquement un client dessus.

Lorsque je fais un debug j’obtiens ceci :

[debug] Ocsinventory unified agent for UNIX, Linux and MacOSX 2.1.1
[debug] Log system initialised (Stderr)
[debug] --scan-homedirs missing. Don't scan user directories
[debug] Accountinfo file: /var/lib/ocsinventory-agent/https:__192.168.0.10_ocsinventory/ocsinv.adm
[debug] OCS Agent initialised
[debug] Turns hooks on for /etc/ocsinventory-agent/modules.conf
[debug] Ocsinventory unified agent for UNIX, Linux and MacOSX 2.1.1
[debug] Log system initialised (Stderr)
[debug] Calling handlers : `start_handler'
[debug] [snmp] Calling snmp_start_handler
[debug]  - Net::SNMP loaded
[debug] Compress::Zlib is available.
[debug] Calling handlers : `prolog_writer'
[debug] sending XML
[debug] sending: <?xml version="1.0" encoding="UTF-8"?>
<REQUEST>
  <DEVICEID>SRVSNMP01-2015-03-19-15-06-03</DEVICEID>
  <QUERY>PROLOG</QUERY>
</REQUEST>
[error] Cannot establish communication : 500 Can't connect to 192.168.0.10:443 (certificate verify failed)

J'ai fait plusieurs essais en utilisant la méthode du wiki, avant d'utiliser un script trouvé sur l'ancien forum :

#!/bin/sh
#
# First, generate apache server certificate request
#
# Generate 1024 bits RSA key, store private key in a
# no password protected PEM file server.key, using
# system default openssl configuration file
#
echo
echo Generating Apache server private key...
echo
openssl genrsa -out cacert.key 1024
#
# Next, sign the apache server certificate with the apache
# server key
#
# Sign with PEM certificate server.crt, using PEM file server.key
# for server private key, using system default openssl configuration
# file
#
# The produced certificate will be valid for 10 days
#
echo
echo Generating Apache self signed certificate...
echo
echo In how many days your certificate will be expired?
echo Enter days number
read answer
openssl req -outform PEM -new -key cacert.key -x509 -days $answer -out cacert.p$

J'ai bien renseigné les infos dans default-ssl.conf

 SSLCertificateFile      /etc/ssl/certs/moncertificat.pem
 SSLCertificateKeyFile   /etc/ssl/private/moncertificat.key

Renommé moncertificat.pem en cacert.pem et placé sur le client linux dans /var/lib/ocsinventory-agent/https:__192.168.0.10_ocsinventory/

L'interface OCS marche en HTTPS, le client linux est bien remonté dans OCS serveur, mais seul le client n'arrive pas avec le certificat .... je comprends pas.

Si quelqu'un a une idée. Merci.

Answer 1

Bonjour

Dans le certificat, quelle valeur as-tu mis pour le champ CN?

Answer 2

Bonjour, J'ai mis l'IP du serveur en CN.

Answer 3

Personne ? :-(

Answer 4

Bonjour,

Dans le fichier de conf de l'agent, est-ce l'adresse ip ou le fqdn du serveur ocs qui est définie à la ligne server=?

Cordialement

Answer 5

bonjour, voici mon fichier de conf client :

debug=
server=https://192.168.0.10/ocsinventory
basevardir=/var/lib/ocsinventory-agent
tag=Serveur

 

Je pense qu'il y incompréhension entre les 2 certificats, car il dit certificate verify failed, alors que quand une valeur est mal renseignée il dit plutôt quelque chose comme certificate not found.