La plateforme utilise aujourd'hui des scripts maison pour la génération des certificats SSL. Or, il semble que les serveurs Apache puissent bénéficier d'un mod, mod_md, permettant de gérer le renouvellement de ces certificats. Cela améliorerai sans doute la stabilité de la fonction.
Référence / provenance
Non renseigné
Forum : URL de la discussion :
Liste de discussions : nom de la liste / date
Autre (précisez) Groupe de travail 3
<!-- Conseil pour écrire votre proposition:
Exprimez librement votre proposition d'amélioration.
Merci de mettre un titre un explicite, et d’essayer de donner les infos suivantes :
- je propose qu'une personne identifiée en tant que .../...
- qui utilise la fonction/partie de la plateforme .../...
- puisse obtenir/faire .../...
- afin de .../...
Par exemple: "je propose qu'une personne identifiée en tant qu'utilisateur d'Ouvadmin ayant une compte chez Ouvaton, qui utilise la fonction de la plateforme "installer en 1 clic", puisse obtenir une possibilité d'installer le logiciel de votes en ligne d'Ouvaton afin de permettre aux utulisateurs de proposer cet outil de vote en ligne sur leur plaque".
Pour plus d’informations, rendez-vous sur le wiki à cette adresse:
https://git.ouvaton.coop/Ouvaton/EvolutionPlateforme/wiki
-->
## Utilisation de appache mod_md
La plateforme utilise aujourd'hui des scripts maison pour la génération des certificats SSL. Or, il semble que les serveurs Apache puissent bénéficier d'un mod, mod_md, permettant de gérer le renouvellement de ces certificats. Cela améliorerai sans doute la stabilité de la fonction.
## Référence / provenance
<!-- Si votre proposition provient d'une discussion (forum, liste de discussion), indiquez ci-dessous la référence (forum, liste, date, ...) en mettant un X majuscule entre les crochets comme ceci:[X]-->
* [ ] Non renseigné
* [ ] Forum : URL de la discussion :
* [ ] Liste de discussions : nom de la liste / date
* [X] Autre (précisez) Groupe de travail 3
Il me semble que c'est HAProxy qui sert les certificats de Let's Encrypt, et que les gérer directement avec les Apache sur les serveurs web01-6 implique de modifier plus profondement la gestion des certificats.
Mais fiabiliser la gestion des certificats via mod_md ou via HAProxy semble utile.
Salut,
Il me semble que c'est HAProxy qui sert les certificats de Let's Encrypt, et que les gérer directement avec les Apache sur les serveurs web01-6 implique de modifier plus profondement la gestion des certificats.
Mais fiabiliser la gestion des certificats via mod_md ou via HAProxy semble utile.
Il n'est pas possible de gérer ça avec mod_md et les serveurs web 1 à 6.
Le module ne permet pas une gestion multi-serveur et ce n'est pas eux qui font l'offload ssl.
Il y a un bug que j'ai temporairement coupé en supprimant le fichier readme qui se rajoute dans la conf letsencrypt depuis la dernière version et qu'il faudrait intégrer dans le script de gestion ssl (actuellement un bête rm en tâche cron).
Pour le reste, les autres erreurs, c'est du domaine qui n'est pas attribué au serveur d'Ouvaton. Et si on insiste trop, lets encrypt bloquera l'ip d'Ouvaton comme on a eu avant qu'on mette en place le système qui bascule le vhosts en erreur afin de pas retenter la chose. J'ai pas l'impression que le mod_md gère les erreurs pareillement.
Quel est le soucis de stabilité actuellement ?
Il n'est pas possible de gérer ça avec mod_md et les serveurs web 1 à 6.
Le module ne permet pas une gestion multi-serveur et ce n'est pas eux qui font l'offload ssl.
Il y a un bug que j'ai temporairement coupé en supprimant le fichier readme qui se rajoute dans la conf letsencrypt depuis la dernière version et qu'il faudrait intégrer dans le script de gestion ssl (actuellement un bête rm en tâche cron).
Pour le reste, les autres erreurs, c'est du domaine qui n'est pas attribué au serveur d'Ouvaton. Et si on insiste trop, lets encrypt bloquera l'ip d'Ouvaton comme on a eu avant qu'on mette en place le système qui bascule le vhosts en erreur afin de pas retenter la chose. J'ai pas l'impression que le mod_md gère les erreurs pareillement.
@mpatout le sujet est-il encore d'actualité ? Je penses que les problèmes de fiabilités remontés à l'époque ne se pose plus, et que le passage à un autre système n'a pas a être étudié en vu de la 2.0.0
@mpatout le sujet est-il encore d'actualité ? Je penses que les problèmes de fiabilités remontés à l'époque ne se pose plus, et que le passage à un autre système n'a pas a être étudié en vu de la 2.0.0
On a encore un problème, mais plus identique à celui rencontré il y a quelques mois, et qui est lié aux changements actuellement réalisés sur les filer. On peut clôre de sujet.
On a encore un problème, mais plus identique à celui rencontré il y a quelques mois, et qui est lié aux changements actuellement réalisés sur les filer. On peut clôre de sujet.
mpatout
Utilisation de appache mod_md
La plateforme utilise aujourd'hui des scripts maison pour la génération des certificats SSL. Or, il semble que les serveurs Apache puissent bénéficier d'un mod, mod_md, permettant de gérer le renouvellement de ces certificats. Cela améliorerai sans doute la stabilité de la fonction.
Référence / provenance
Salut,
Il me semble que c'est HAProxy qui sert les certificats de Let's Encrypt, et que les gérer directement avec les Apache sur les serveurs web01-6 implique de modifier plus profondement la gestion des certificats.
Mais fiabiliser la gestion des certificats via mod_md ou via HAProxy semble utile.
Quel est le soucis de stabilité actuellement ?
Il n'est pas possible de gérer ça avec mod_md et les serveurs web 1 à 6.
Le module ne permet pas une gestion multi-serveur et ce n'est pas eux qui font l'offload ssl.
Il y a un bug que j'ai temporairement coupé en supprimant le fichier readme qui se rajoute dans la conf letsencrypt depuis la dernière version et qu'il faudrait intégrer dans le script de gestion ssl (actuellement un bête rm en tâche cron).
Pour le reste, les autres erreurs, c'est du domaine qui n'est pas attribué au serveur d'Ouvaton. Et si on insiste trop, lets encrypt bloquera l'ip d'Ouvaton comme on a eu avant qu'on mette en place le système qui bascule le vhosts en erreur afin de pas retenter la chose. J'ai pas l'impression que le mod_md gère les erreurs pareillement.
@mpatout le sujet est-il encore d'actualité ? Je penses que les problèmes de fiabilités remontés à l'époque ne se pose plus, et que le passage à un autre système n'a pas a être étudié en vu de la 2.0.0
On a encore un problème, mais plus identique à celui rencontré il y a quelques mois, et qui est lié aux changements actuellement réalisés sur les filer. On peut clôre de sujet.