Ocsiventory.ini

Question

Salut merci encore pour ta réponse ,

Mais j'ai une deuxième question , j'ai réussi à déployer mon paquet et pour cela j'ai du modifier la valeur SSL 1 en valeur 0 dans le fichier ocsinventory.ini du coter client , est ce que c'est normal ? Si oui comment je fais pour faire en sorte que cette valeur reste à 0 quand je veux installer l'agent sur mes machines clientes ?

Answer 1

Bonjour,

bah non ce n'est pas normal, le certificat ne semble pas pris en charge sur le serveur OCS.

Sans certificat, ça fonctionne aussi mais d'un point de vue sécurité (si serveur et clients sont sur le même LAN c'est un moindre mal, mais si ce n'est pas le cas...)

Vérifier l'activation du certificat dans /etc/apache2/sites-enabled/default-ssl.conf, au besoin décommenter les lignes suivantes et vérifier si les fichiers PEM et KEY sont les bons :

SSLCertificateFile

SSLCertificateKeyFile

Eventuellement, activer le certificat / redémarrage d'Apache :

a2enmod ssl

a2ensite default-ssl

service apache2 reload

Avec ça (et si les liens symboliques sont à jour sur Debian up to date), l'interface du site devrait être accessible en https://votre_serveur_ocs

Answer 2

Alors j'ai vérifier dans le fichier default-ssl et il me semble bien configuré étant donnée que je peux bien accéder à mon serveur depuis l'adresse https://mon-serveur et j'ai accès aussi a mon dossier download depuis l'adresse https://monserveur/download 

Alors la question que je me pose est ce que lors de la configuration du certificat il est pas mieux de mettre un nom FQDN au lieu d'un adresse ip ?

Voici un exemple de ce que j'ai mis dans le certificat :
       -----
       Country Name (2 letter code) [AU]:FR
       State or Province Name (full name) [Some-State]:Region
       Locality Name (eg, city) :Ville
       Organization Name (eg, company) [Internet Widgits Pty Ltd]:Entreprise
       Organizational Unit Name (eg, section) :Service
       Common Name (eg, YOUR name) :  192.168.1.16
       Email Address :moi@monFAI.com

EDIT: Dans la ligne  SSLCertificateFile c'est en format crt ou pem ? 

 Si dans la ligne SSLCertificateFile je met le fichier en format pem ça me fait une erreur au redémarrage de apache2 .

Answer 3

Perso, dans le certificat j'ai mis un DNS à "Common Name" car je ne suis pas à l'abri de migrer un jour mon serveur OCS sur un autre site, mais si j'avais un serveur OCS sur le même LAN que les clients, je préfèrerais renseigner l'IP.

Pour le(s) fichier(s) certificat à renseigner dans le fichier default-ssl.conf, j'ai effectivement un fichier .pem et un fichier .key, mais j'ai aussi remarqué que d'autres méthodes existent et ne procèdent pas comme cela (cf. Yves Guimard, auteur de l'ouvrage OCS Inventory NG [éditions 1 et 2]) n'exploite pas le fichier .key et sa méthode (si elle est comme le reste de son bouquin), est certainement obsolète.

Pour le fichier .pem, je pense qu'il faut creuser à ce niveau, il me semble que le client OCS ne supporte que le cacert.pem alors le choix vs .crt est vite fait.

> L'erreur, c'est au redémarrage d'Apache ? La raison doit être que le fichier cacert.pem n'existe pas ou n'est pas au bon endroit sur le serveur.

Selon moi, vous devriez régénérer les fichiers de certificats, en utilisant par exemple la méthode de Milos Zengel (voir son tuto sur le Net) qui fonctionne chez moi, et bien sûr ne pas oublier de faire la modif dans le fichier default-ssl.conf ainsi que de mettre le fichier cacert.pem dans le répertoire de l'agent du client et sur le serveur OCS aux emplacements :

/user/local/share/ca-certificates/cacert.pem

/etc/apache2/ssl/cacert.pem et /etc/apache2/ssl/cacert.key