Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 09/05/2014 10:47:13
- tsn77130
- Membre
probleme de CRL
Bonjour à tous,
je suis actuellement en train de mettre en place un système d'authentification par certificats pour ma DB.
J'ai créé via une pki les certificats de ma db ainsi que de mes clients.
test de connexion OK
Par contre, j'ai un problème au niveau de mes CRL.
J'ai effectué quelques tests de révocation de certificats, et maintenant, dès que j'active la directive crl dans postgresql.conf, mes connexions sont rejetées, que le certificat ait effectivement été rejeté ... ou pas.
Voici les logs du serveur :
2014-05-09 10:19:08.163 CEST [14141]: [1-1] user=[unknown],db=[unknown] LOG: connection received: host=172.20.0.102 port=46148
2014-05-09 10:19:08.173 CEST [14141]: [2-1] user=[unknown],db=[unknown] LOG: could not accept SSL connection: no certificate returned
2014-05-09 10:19:08.173 CEST [14142]: [1-1] user=[unknown],db=[unknown] LOG: connection received: host=172.20.0.102 port=46149
2014-05-09 10:19:08.174 CEST [14142]: [2-1] user=prod,db=DB1 FATAL: no pg_hba.conf entry for host "172.20.0.102", user "prod", database "DB1", SSL off
2014-05-09 10:19:08.174 CEST [14142]: [3-1] user=prod,db=DB1 DETAIL: Client IP address resolved to "172.20.0.102", forward lookup not checked.
Et du client :
psql -h 172.20.0.11 -U prod DB1
psql: SSL error: sslv3 alert certificate expired
FATAL: no pg_hba.conf entry for host "172.20.0.102", user "prod", database "DB1", SSL off.
J'ai bien vérifié les serial numbers, le certificat avec lequel je tente de me connecter n'est pas listé dans la liste des certificats révoqués
Client :
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 7 (0x7)
Server :
Revoked Certificates:
Serial Number: 01
Revocation Date: May 7 15:37:02 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: 03
Revocation Date: May 6 14:13:28 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: 06
Revocation Date: May 7 16:05:16 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Superseded
Avez vos une idée d'ou peut venir le problème ?
Merci !
Hors ligne
#2 09/05/2014 11:28:15
- ruizsebastien
- Membre
Re : probleme de CRL
Bonjour,
Le problème vient sans doute du fichier pg_hba.conf.
Pouvez-vous nousen faire une copie ici ?
Cordialement,
Sébastien.
Hors ligne
#3 09/05/2014 11:47:02
- tsn77130
- Membre
Re : probleme de CRL
Bon, 1ère partie du problème résolu, le durée de vie de la CRL était expirée...
Mais maintenant, j'ai l'erreur suivante : "psql: SSL error: tlsv1 alert unknown ca", toujours seulement lorsque ma CRL est activée sur le serveur
Mon pg_hba.conf
#local network
hostssl DB1 prod 172.20.0.0/16 cert clientcert=1 map=prod_srvs
(je précise que la map fonctionne bien)
Dernière modification par tsn77130 (09/05/2014 11:48:32)
Hors ligne
#4 09/05/2014 13:45:07
- ruizsebastien
- Membre
Re : probleme de CRL
Ceci pourrait peut être vous aider :
http://www.postgresql.org/message-id/51 … adrant.com
Cordialement,
Sébastien.
Hors ligne
#5 09/05/2014 14:42:22
- tsn77130
- Membre
Re : probleme de CRL
J'étais déjà tombé dessus, merci.
De ce que je comprend, la personen a eu cette erreur lorsqu'elle ne fournissait pas au serveur le CA root, or dans mon cas je l'ai fait, d'ailleurs ça fonctionne très bien dès lors que je ne fournit pas de CRL.
Je n'ai pas réussi a trouver du mode débug de la transaction SSL via psql, ni réussi a afficher sur le serveur plus d'infos, du coup je ne sais pas trop comment investiguer sur ce problème.
Hors ligne
Pages : 1