Vous n'êtes pas identifié(e).

#1 09/05/2014 10:47:13

tsn77130
Membre

probleme de CRL

Bonjour à tous,

je suis actuellement en train de mettre en place un système d'authentification par certificats pour ma DB.
J'ai créé via une pki les certificats de ma db ainsi que de mes clients.
test de connexion OK

Par contre, j'ai un problème au niveau de mes CRL.
J'ai effectué quelques tests de révocation de certificats, et maintenant, dès que j'active la directive crl dans postgresql.conf, mes connexions sont rejetées, que le certificat ait effectivement été rejeté ... ou pas.

Voici les logs du serveur :
2014-05-09 10:19:08.163 CEST [14141]: [1-1] user=[unknown],db=[unknown] LOG:  connection received: host=172.20.0.102 port=46148
2014-05-09 10:19:08.173 CEST [14141]: [2-1] user=[unknown],db=[unknown] LOG:  could not accept SSL connection: no certificate returned
2014-05-09 10:19:08.173 CEST [14142]: [1-1] user=[unknown],db=[unknown] LOG:  connection received: host=172.20.0.102 port=46149
2014-05-09 10:19:08.174 CEST [14142]: [2-1] user=prod,db=DB1 FATAL:  no pg_hba.conf entry for host "172.20.0.102", user "prod", database "DB1", SSL off
2014-05-09 10:19:08.174 CEST [14142]: [3-1] user=prod,db=DB1 DETAIL:  Client IP address resolved to "172.20.0.102", forward lookup not checked.


Et du client :
psql -h 172.20.0.11 -U prod DB1
psql: SSL error: sslv3 alert certificate expired
FATAL:  no pg_hba.conf entry for host "172.20.0.102", user "prod", database "DB1", SSL off.

J'ai bien vérifié les serial numbers, le certificat avec lequel je tente de me connecter n'est pas listé dans la liste des certificats révoqués

Client :
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 7 (0x7)



Server :
Revoked Certificates:
    Serial Number: 01
        Revocation Date: May  7 15:37:02 2014 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Serial Number: 03
        Revocation Date: May  6 14:13:28 2014 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Serial Number: 06
        Revocation Date: May  7 16:05:16 2014 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Superseded


Avez vos une idée d'ou peut venir le problème ?
Merci !

Hors ligne

#2 09/05/2014 11:28:15

ruizsebastien
Membre

Re : probleme de CRL

Bonjour,

Le problème vient sans doute du fichier pg_hba.conf.
Pouvez-vous nousen faire une copie ici ?


Cordialement,

Sébastien.

Hors ligne

#3 09/05/2014 11:47:02

tsn77130
Membre

Re : probleme de CRL

Bon, 1ère partie du problème résolu, le durée de vie de la CRL était expirée...
Mais maintenant, j'ai l'erreur suivante : "psql: SSL error: tlsv1 alert unknown ca", toujours seulement lorsque ma CRL est activée sur le serveur



Mon pg_hba.conf
#local network
hostssl         DB1        prod            172.20.0.0/16           cert clientcert=1 map=prod_srvs
(je précise que la map fonctionne bien)

Dernière modification par tsn77130 (09/05/2014 11:48:32)

Hors ligne

#4 09/05/2014 13:45:07

ruizsebastien
Membre

Re : probleme de CRL

Ceci pourrait peut être vous aider :
http://www.postgresql.org/message-id/51 … adrant.com


Cordialement,

Sébastien.

Hors ligne

#5 09/05/2014 14:42:22

tsn77130
Membre

Re : probleme de CRL

J'étais déjà tombé dessus, merci.
De ce que je comprend, la personen a eu cette erreur lorsqu'elle ne fournissait pas au serveur le CA root, or dans mon cas je l'ai fait, d'ailleurs ça fonctionne très bien dès lors que je ne fournit pas de CRL.

Je n'ai pas réussi a trouver du mode débug de la transaction SSL via psql, ni réussi a afficher sur le serveur plus d'infos, du coup je ne sais pas trop comment investiguer sur ce problème.

Hors ligne

Pied de page des forums