Fiablisation du renouvellement des domaine #9

Closed
opened 2020-10-05 12:06:32 +02:00 by fdelalleau · 4 comments

Utilisation de appache mod_md

La plateforme utilise aujourd'hui des scripts maison pour la génération des certificats SSL. Or, il semble que les serveurs Apache puissent bénéficier d'un mod, mod_md, permettant de gérer le renouvellement de ces certificats. Cela améliorerai sans doute la stabilité de la fonction.

Référence / provenance

  • Non renseigné
  • Forum : URL de la discussion :
  • Liste de discussions : nom de la liste / date
  • Autre (précisez) Groupe de travail 3
<!-- Conseil pour écrire votre proposition: Exprimez librement votre proposition d'amélioration. Merci de mettre un titre un explicite, et d’essayer de donner les infos suivantes : - je propose qu'une personne identifiée en tant que .../... - qui utilise la fonction/partie de la plateforme .../... - puisse obtenir/faire .../... - afin de .../... Par exemple: "je propose qu'une personne identifiée en tant qu'utilisateur d'Ouvadmin ayant une compte chez Ouvaton, qui utilise la fonction de la plateforme "installer en 1 clic", puisse obtenir une possibilité d'installer le logiciel de votes en ligne d'Ouvaton afin de permettre aux utulisateurs de proposer cet outil de vote en ligne sur leur plaque". Pour plus d’informations, rendez-vous sur le wiki à cette adresse: https://git.ouvaton.coop/Ouvaton/EvolutionPlateforme/wiki --> ## Utilisation de appache mod_md La plateforme utilise aujourd'hui des scripts maison pour la génération des certificats SSL. Or, il semble que les serveurs Apache puissent bénéficier d'un mod, mod_md, permettant de gérer le renouvellement de ces certificats. Cela améliorerai sans doute la stabilité de la fonction. ## Référence / provenance <!-- Si votre proposition provient d'une discussion (forum, liste de discussion), indiquez ci-dessous la référence (forum, liste, date, ...) en mettant un X majuscule entre les crochets comme ceci:[X]--> * [ ] Non renseigné * [ ] Forum : URL de la discussion : * [ ] Liste de discussions : nom de la liste / date * [X] Autre (précisez) Groupe de travail 3
fdelalleau added the
Patch
Bug
labels 2020-10-05 12:06:32 +02:00
mpatout was assigned by fdelalleau 2020-10-05 12:06:32 +02:00
gurvan was assigned by fdelalleau 2020-10-05 12:06:32 +02:00
pladame was assigned by fdelalleau 2020-10-05 12:06:32 +02:00
Owner

Salut,

Il me semble que c'est HAProxy qui sert les certificats de Let's Encrypt, et que les gérer directement avec les Apache sur les serveurs web01-6 implique de modifier plus profondement la gestion des certificats.

Mais fiabiliser la gestion des certificats via mod_md ou via HAProxy semble utile.

Salut, Il me semble que c'est HAProxy qui sert les certificats de Let's Encrypt, et que les gérer directement avec les Apache sur les serveurs web01-6 implique de modifier plus profondement la gestion des certificats. Mais fiabiliser la gestion des certificats via mod_md ou via HAProxy semble utile.

Quel est le soucis de stabilité actuellement ?

Il n'est pas possible de gérer ça avec mod_md et les serveurs web 1 à 6.
Le module ne permet pas une gestion multi-serveur et ce n'est pas eux qui font l'offload ssl.

Il y a un bug que j'ai temporairement coupé en supprimant le fichier readme qui se rajoute dans la conf letsencrypt depuis la dernière version et qu'il faudrait intégrer dans le script de gestion ssl (actuellement un bête rm en tâche cron).
Pour le reste, les autres erreurs, c'est du domaine qui n'est pas attribué au serveur d'Ouvaton. Et si on insiste trop, lets encrypt bloquera l'ip d'Ouvaton comme on a eu avant qu'on mette en place le système qui bascule le vhosts en erreur afin de pas retenter la chose. J'ai pas l'impression que le mod_md gère les erreurs pareillement.

Quel est le soucis de stabilité actuellement ? Il n'est pas possible de gérer ça avec mod_md et les serveurs web 1 à 6. Le module ne permet pas une gestion multi-serveur et ce n'est pas eux qui font l'offload ssl. Il y a un bug que j'ai temporairement coupé en supprimant le fichier readme qui se rajoute dans la conf letsencrypt depuis la dernière version et qu'il faudrait intégrer dans le script de gestion ssl (actuellement un bête rm en tâche cron). Pour le reste, les autres erreurs, c'est du domaine qui n'est pas attribué au serveur d'Ouvaton. Et si on insiste trop, lets encrypt bloquera l'ip d'Ouvaton comme on a eu avant qu'on mette en place le système qui bascule le vhosts en erreur afin de pas retenter la chose. J'ai pas l'impression que le mod_md gère les erreurs pareillement.
pladame was unassigned by fdelalleau 2021-03-29 12:47:00 +02:00
Author

@mpatout le sujet est-il encore d'actualité ? Je penses que les problèmes de fiabilités remontés à l'époque ne se pose plus, et que le passage à un autre système n'a pas a être étudié en vu de la 2.0.0

@mpatout le sujet est-il encore d'actualité ? Je penses que les problèmes de fiabilités remontés à l'époque ne se pose plus, et que le passage à un autre système n'a pas a être étudié en vu de la 2.0.0
Owner

On a encore un problème, mais plus identique à celui rencontré il y a quelques mois, et qui est lié aux changements actuellement réalisés sur les filer. On peut clôre de sujet.

On a encore un problème, mais plus identique à celui rencontré il y a quelques mois, et qui est lié aux changements actuellement réalisés sur les filer. On peut clôre de sujet.
fdelalleau locked as Resolved and limited conversation to collaborators 2021-03-29 13:49:54 +02:00
Sign in to join this conversation.
No Milestone
No project
No Assignees
3 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Ouvaton/EvolutionPlateforme#9
No description provided.