Welcome to OCS Inventory NG community support, where you can ask questions and receive answers from other members of the community.

Please ask questions only in English or French.

Release 2.12.3 available

The official documentation can be found on https://wiki.ocsinventory-ng.org. Read it before asking your question.

Categories

Mise à jour d'un certificat SSL non auto-signé sur un agent OCS [closed]

Bonjour à tous,

Je travaille depuis peu avec la version 2.3 d'OCS (serveur et agent). J'ai installé un agent OCS sur des postes sous Windows. Je voudrais savoir comment mettre à jour le certificat SSL sur le serveur et les agents OCS lorsqu'il ne sera plus valable. Je vous remercie et toutes mes excuses pour un quelconque dérangement. :)
closed with the note: I have my answer
in OCS Inventory NG agent for Windows by (820 points)
closed by
Share on
share on gp share on fb share on tw share on li

6 Answers

0 votes
Bonjour,

Pour être bien clair, sur ton serveur tu as le certificat qui porte ton le nom dns de ton serveur, par contre coté tu n'as besoin que de l'autorité de certification.

Dans mon cas, j'ai un certificats pour 2 ans, mais l'autorité de certification a un .pem qui expire dans 15 ans. Lors du renouvellement de certificat de mon serveur, celui de mon autorité de certification n'aura pas expiré, j'aurais donc à remplacer le certificat uniquement coté serveur, rien coté clients.

J'ai donc du mal à imaginer de cas où ce besoin apparait, j'ai sans doute pas assez d'imagination. Peux-tu préciser un peu le contexte ?

Cordialement,
Bexounet
by (3.7k points)
edited by
0 votes
Bonjour,

Merci pour ta réponse.

En fait j'ai une autorité de certification qui me permet de signer correctement des certificats. Maintenant, pour renouveler ces certificats une fois expiré, je fais comment vu que sur un agent OCS je spécifie un cerficat .pem pendant son installation. Le renouvellement se fait-il automatiquement ou pas? Merci
by (820 points)
0 votes
Le PEM que tu donnes à l'agent n'a pas besoin de contenir les infos de ton certificats serveurs, mais uniquement celle de ton autorité de certification.

Si je prends l'exemple d'un certificats P12 issu de la PKI de ma boite, il contient 3 choses (je ne suis pas expert de la choses et j'explique ça sans doute avec des mots qui ferait grogné les spécialiste en PKI) :
La clée privée du certificat serveurs,
Le certificats serveurs (partie publique)
Le certificats de l'autorité de certification ayant émis le certificats.

C'est cette dernière partie qui est nécessaire sur les clients.
Si tu as un certificats serveur au format P12, tu peux extraire cette partie en utilisant openssl (il y en a une version pour windows), en faisant :
openssl pkcs12 -in MonJoliCertificatServeurAvecToutDedans.p12 -out cacert.pem -cacerts -nokeys

C'est uniquement le cacert.pem issu de cette commande qui est nécessaire à l'agent OCS, quelque soit le certificats du moment qu'il est issu de cette même autorité de certifications.

A noter que ce cacert.pem a une date d'expiration mais qui ne sera pas la même que celle du certificat serveur complet.

Il n'y a pas de mécanisme automatique pour remplacer le fichier .pem qui est mis coté agents. Un déploiement de script pourrait peut-être faire l'affaire.

Cordialement,
Bexounet.
by (3.7k points)
0 votes
Merci encore une fois pour ta réponse. Comment je fais alors pour signer mon certificat côté serveur (linux) de façon légale (pas d'auto-signature). Oui il faudra le soumettre à une autorité, mais comment faire? Mon autorité est dans l'AD.
by (820 points)
0 votes
Je suis désolé, je ne vais pas pouvoir t'aider, car si ta question est "comment je me sers de ma PKI", honnêtement je ne sais pas. Je ne suis pas expert de la question et je n'ai pas joué avec une autorité de certification Microsoft depuis plus de 10 ans :-/

Cordialement,
Bexounet.
by (3.7k points)
0 votes
Bonjour,

Je te remercie encore une fois. J'ai finalement trouvé une solution à mon problème. Merci :)
by (820 points)
 
Powered by Question2Answer
...