Aller au contenu

Probl


Messages recommandés

Bonjour à tous,

tout d'abord, et pour tous les gens qui participent à synocommunity : un grand merci. C'est absolument génial. J'avais de mon côté (sans prendre le temps de le partager) packagé quelques paquets qui m'étaient utiles. Notamment SVN. Et maintenant je vois que tout ça est dispo sur le repository communautaire. Génial.

Du coup j'vais peut être participer avec moblock :-p

Bon, et place à mon problème.

Il se décrit simplement : j'essaie d'installer HAProxy pour remplacer mes configurations "hand-made" et là : echec du lancement de la réparation du paquet. Quelque chose comme ça.

Lorsque je lance un "start-stop-status check", j'obtiens :

NAS> ./start-stop-status check
[ALERT] 134/160036 (12263) : parsing [/usr/local/haproxy/var/haproxy.cfg:32] : 'bind :5443' : unable to load SSL private key from PEM file '/usr/local/haproxy/var/crt/default.pem'.
[ALERT] 134/160036 (12263) : Error(s) found in configuration file : /usr/local/haproxy/var/haproxy.cfg
[ALERT] 134/160036 (12263) : Proxy 'https': no SSL certificate specified for bind ':5443' at [/usr/local/haproxy/var/haproxy.cfg:32] (use 'crt').
[ALERT] 134/160036 (12263) : Fatal errors found in configuration.

En gros, il n'arrive pas à lire la clé privée dans default.pem

Et c'est bien normal : y'a pas de clé privée dans ce fichier. Il correspond en fait à ma clé publique + la chaîne de certification.

Du coup, quelques questions :

  • à quel moment ma clé publique est-elle copiée dans le répertoire d'installation de HAProxy ?
  • est-il normal que ça prenne la clé publique ? Si je comprends bien, ce devrait être le trousseau entier.
  • pourquoi ces copies ? Il ne faudrait pas plutôt faire des liens ?

Bref, j'ai du mal à analyser tout seul cette erreur sans me plonger dans tout le code.

Quelqu'un peut-il m'apporter une aide ?

Si Diaoul passe par là, peut-il m'éclairer ? [et merci, apparemment t'es très actif sur les packages]

Bien à vous !

Lien vers le commentaire
Partager sur d’autres sites

Hmmm… Je vais peut être répondre en partie à ma question.

D'abord, j'avais oublié de préciser quelques infos contextuelles :

  • Version package HAProxy : 1.5~dev18 (spk_rev 8)
  • Version DSM : 4.2 (build 3202)
  • Hard : DS1512+ (x86_64 GNU/Linux synology_cedarview_1512+)
  • Quelques modifications à la mano. Parmis les relevant :
    • Les fichiers de clés sont protégés peut-être différemment de ce que ferait le syno (j'ai fais un chmod)
    • Le fichier de CRT est concatené avec les certificats de la chaîne de confiance de l'authorité
    • Quelques customisations Apache (notamment pour du proxy_reverse, une meilleure gestion du SSL, quelques fichiers de rewrite_rule, etc.)

Voilà.

Dans le fichier : spksrc-developspkhaproxysrcappapplicationdirect.py (j'ai pris hier la version sur GitHub)

Aux lignes : [89-101]

    def generate_certificate(self):
        if os.path.exists(self.crt_path):
            os.remove(self.crt_path)
        with open(self.crt_path, 'w') as crt:
            for filepath in [u'/usr/syno/etc/ssl/ssl.crt/server.crt', u'/usr/syno/etc/ssl/ssl.crt/ca.crt', u'/usr/syno/etc/ssl/ssl.key/server.key']:
                with open(filepath, 'r') as f:
                    content = f.read()
                if not content.endswith('n'):
                    content += 'n'
                crt.write(content)
        os.chown(self.crt_path, pwd.getpwnam(self.user).pw_uid, -1)
        os.chmod(self.crt_path, 0600)
        return {'success': True}

J'y vois au moins une erreur : le CA depuis la version 4(.1 ?) n'est plus dans ssl.crt mais dans ssl.intercrt.

N'y a-t-il pas un problème aussi par rapport aux droits d'accès ?

/usr/syno/etc/ssl/ssl.crt:
drwxr-xr-x    2 root     root          4096 Dec 16 23:59 .
drwxr-xr-x    7 root     root          4096 Apr 12 12:46 ..
-r--------    1 root     root          7638 Dec 16 23:59 server.crt

/usr/syno/etc/ssl/ssl.csr:
drwxr-xr-x    2 root     root          4096 Nov 18 15:38 .
drwxr-xr-x    7 root     root          4096 Apr 12 12:46 ..
-r--------    1 root     root          1728 Nov 18 14:41 server.csr

/usr/syno/etc/ssl/ssl.intercrt:
drwxr-xr-x    2 root     root          4096 Dec 17 00:16 .
drwxr-xr-x    7 root     root          4096 Apr 12 12:46 ..
-r--------    1 root     root          4975 Dec 17 00:12 server-ca.crt

/usr/syno/etc/ssl/ssl.key:
drwxr-xr-x    2 root     root          4096 Nov 18 15:38 .
drwxr-xr-x    7 root     root          4096 Apr 12 12:46 ..
-r--------    1 root     root          3247 Nov 18 14:41 server.key

Merci d'avance !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.