Bogue de renouvellement de certificat TLS avec TLSA #39

New Issue

Closed

opened 2024-07-30 11:28:26 +02:00 by neox · 4 comments

neox commented 2024-07-30 11:28:26 +02:00

Owner

Copy Link

Il semble que l'architecture de certifcats TLS du service XMPP soit problématique. En effet, il y a un certificat séparé pour le domaine a-lec.org et un second qui couvre les sous-domaines du service (xmpp.a-lec.org, salons.a-lec.org, etc). Cela pose un soucis lors du renouvellement et avec TLSA car différentes clés sont donc présentes pour notre service.

Le renouvellement de a-lec.org était assuré par www.a-lec.org auparavant, et ça n'a pas fonctionné ce 30 juillet 2024. La machine xmpp n'est pas capable d'obtenir un certificat pour a-lec.org car cela redirige vers le site web. Il faut trouver une autre solution : un wildcard pourrait faire l'affaire ?

Il semble que l'architecture de certifcats TLS du service XMPP soit problématique. En effet, il y a un certificat séparé pour le domaine a-lec.org et un second qui couvre les sous-domaines du service (xmpp.a-lec.org, salons.a-lec.org, etc). Cela pose un soucis lors du renouvellement et avec TLSA car différentes clés sont donc présentes pour notre service. Le renouvellement de a-lec.org était assuré par www.a-lec.org auparavant, et ça n'a pas fonctionné ce 30 juillet 2024. La machine xmpp n'est pas capable d'obtenir un certificat pour a-lec.org car cela redirige vers le site web. Il faut trouver une autre solution : un wildcard pourrait faire l'affaire ?

neox added the

bogue

vie privée/sécurité

en cours

labels 2024-07-30 11:28:41 +02:00

neox referenced this issue from cominfra/dns 2024-07-30 11:31:41 +02:00

Mise en place d'une clé TSIG pour a-lec.org #6

neox commented 2024-07-30 11:45:26 +02:00

Author

Owner

Copy Link

Mise en place du script /etc/letsencrypt/renewal/certbot-dns-01-auth.sh :

#!/bin/bash

# Variables
DOMAIN="_acme-challenge.$CERTBOT_DOMAIN"
TXT_VALUE=$CERTBOT_VALIDATION
TSIG_KEYFILE="/etc/letsencrypt/renewal/certbot.key"

# Update DNS record
nsupdate -k $TSIG_KEYFILE <<EOF
server dns.libre-en-communs.org
update delete $DOMAIN TXT
update add $DOMAIN 300 TXT "$TXT_VALUE"
send
EOF

Mise en place du script `/etc/letsencrypt/renewal/certbot-dns-01-auth.sh` : ``` #!/bin/bash # Variables DOMAIN="_acme-challenge.$CERTBOT_DOMAIN" TXT_VALUE=$CERTBOT_VALIDATION TSIG_KEYFILE="/etc/letsencrypt/renewal/certbot.key" # Update DNS record nsupdate -k $TSIG_KEYFILE <<EOF server dns.libre-en-communs.org update delete $DOMAIN TXT update add $DOMAIN 300 TXT "$TXT_VALUE" send EOF ```

neox commented 2024-07-30 12:02:36 +02:00

Author

Owner

Copy Link

Génération d'un certificat :

certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /etc/letsencrypt/renewal/certbot-dns-01-auth.sh -d a-lec.org

Génération d'un certificat : ``` certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /etc/letsencrypt/renewal/certbot-dns-01-auth.sh -d a-lec.org ```

neox commented 2024-07-30 12:11:49 +02:00

Author

Owner

Copy Link

Nouvelle configuration :

# renew_before_expiry = 30 days
version = 2.1.0
archive_dir = /etc/letsencrypt/archive/xmpp.a-lec.org
cert = /etc/letsencrypt/live/xmpp.a-lec.org/cert.pem
privkey = /etc/letsencrypt/live/xmpp.a-lec.org/privkey.pem
chain = /etc/letsencrypt/live/xmpp.a-lec.org/chain.pem
fullchain = /etc/letsencrypt/live/xmpp.a-lec.org/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = 710e4c88be6742755bd91d91d800e21e
authenticator = manual
server = https://acme-v02.api.letsencrypt.org/directory
key_type = ecdsa
pref_challs = dns-01,
manual_auth_hook = /etc/letsencrypt/renewal/certbot-dns-01-auth.sh
reuse_key = True

La commande :

certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /etc/letsencrypt/renewal/certbot-dns-01-auth.sh -d a-lec.org -d matrix-gateway.a-lec.org -d matrix.a-lec.org -d comments.a-lec.org -d news.a-lec.org -d proxy.a-lec.org -d pubsub.a-lec.org -d salons.a-lec.org -d xmpp.a-lec.org --reuse-key

Nouvelle configuration : ``` # renew_before_expiry = 30 days version = 2.1.0 archive_dir = /etc/letsencrypt/archive/xmpp.a-lec.org cert = /etc/letsencrypt/live/xmpp.a-lec.org/cert.pem privkey = /etc/letsencrypt/live/xmpp.a-lec.org/privkey.pem chain = /etc/letsencrypt/live/xmpp.a-lec.org/chain.pem fullchain = /etc/letsencrypt/live/xmpp.a-lec.org/fullchain.pem # Options used in the renewal process [renewalparams] account = 710e4c88be6742755bd91d91d800e21e authenticator = manual server = https://acme-v02.api.letsencrypt.org/directory key_type = ecdsa pref_challs = dns-01, manual_auth_hook = /etc/letsencrypt/renewal/certbot-dns-01-auth.sh reuse_key = True ``` La commande : ``` certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /etc/letsencrypt/renewal/certbot-dns-01-auth.sh -d a-lec.org -d matrix-gateway.a-lec.org -d matrix.a-lec.org -d comments.a-lec.org -d news.a-lec.org -d proxy.a-lec.org -d pubsub.a-lec.org -d salons.a-lec.org -d xmpp.a-lec.org --reuse-key ```

neox commented 2024-07-30 12:15:45 +02:00

Author

Owner

Copy Link

Et puis on veut que ça recharge ejabberd :

# renew_before_expiry = 30 days
version = 2.1.0
archive_dir = /etc/letsencrypt/archive/xmpp.a-lec.org
cert = /etc/letsencrypt/live/xmpp.a-lec.org/cert.pem
privkey = /etc/letsencrypt/live/xmpp.a-lec.org/privkey.pem
chain = /etc/letsencrypt/live/xmpp.a-lec.org/chain.pem
fullchain = /etc/letsencrypt/live/xmpp.a-lec.org/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = 710e4c88be6742755bd91d91d800e21e
authenticator = manual
server = https://acme-v02.api.letsencrypt.org/directory
key_type = ecdsa
pref_challs = dns-01,
manual_auth_hook = /etc/letsencrypt/renewal/certbot-dns-01-auth.sh
reuse_key = True
renew_hook = systemctl reload ejabberd.service

Et puis on veut que ça recharge ejabberd : ``` # renew_before_expiry = 30 days version = 2.1.0 archive_dir = /etc/letsencrypt/archive/xmpp.a-lec.org cert = /etc/letsencrypt/live/xmpp.a-lec.org/cert.pem privkey = /etc/letsencrypt/live/xmpp.a-lec.org/privkey.pem chain = /etc/letsencrypt/live/xmpp.a-lec.org/chain.pem fullchain = /etc/letsencrypt/live/xmpp.a-lec.org/fullchain.pem # Options used in the renewal process [renewalparams] account = 710e4c88be6742755bd91d91d800e21e authenticator = manual server = https://acme-v02.api.letsencrypt.org/directory key_type = ecdsa pref_challs = dns-01, manual_auth_hook = /etc/letsencrypt/renewal/certbot-dns-01-auth.sh reuse_key = True renew_hook = systemctl reload ejabberd.service ```

neox added

résolu

and removed

en cours

labels 2024-07-30 15:41:35 +02:00

neox closed this issue 2024-08-20 10:19:50 +02:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

Labels

Clear labels

  

adhésion

concerne une nouvelle inscription

  

amont

Ce problème a été signalé au projet amont

  

bloqué

Des raisons extérieures au ticket empêchent son avancement

  

bogue

Il s'agit d'un problème empêchant le bon fonctionnement d'un service

  

déploiement

Concerne le déploiement d'un nouveau projet

  

en cours

Actuellement traité

  

FSDG/RYF/libre

Touche au sujet de l'amélioration de l'état de liberté de l'infrastructure

  

matériel

Tâche ou problème liée à du matériel informatique

  

planifié

planifié/décidé lors d'une réunion ou une discussion de la commission

  

radiation

Concerne la radiation d'une personne

  

rejeté

Non résolvable car inrésolvable, faux problème ou autre raison

  

résolu

Tâche terminée ou problème résolu

  

suivi

  

vie privée/sécurité

Touche à des sujets sensibles et donc prioritaire

No Label

adhésion

amont

bloqué

bogue

déploiement

en cours

FSDG/RYF/libre

matériel

planifié

radiation

rejeté

résolu

suivi

vie privée/sécurité

Milestone

Clear milestone

No items

No Milestone

Assignees

Clear assignees

No Assignees

1 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: cominfra/xmpp#39

No description provided.