Project

General

Profile

Consul refuse de valider mon certificat SSL

Added by Steeve Placide 2 months ago

Bonjour,

Depuis quelques jours je bataille avec notre Xivo (version Helios 2021.15.07) pour que notre certificat SSL soit validé par le module ctid et que le service webrtc fonctionne.

Suite à un reboot violent du système (coupure électrique), le service xivo-ctid refuse de se lancer. Donc plus d'authentification possible pour tous les utilisateurs utilisant le webrtc via l'appli UC Assistant.

Il plante systématiquement sur la partie "bad handshake: Error" avec le retour suivant:
tail /var/log/xivo-ctid.log
AgentdClientError: invalid token or unauthorized
(INFO) (main): STOPPING XiVO CTI Server (pid 26809) / uptime 0 s
(INFO) (service_discovery): Deregistering xivo-ctid from Consul services: 123b0d3c-9ed3-4027-8a29-43f6ffa63329
(CRITICAL) (root): HTTPSConnectionPool(host='xxx.fr', port=8500): Max retries exceeded with url: /v1/agent/check/deregister/service:123b0d3c-9ed3-4027-8a29-43f6ffa63329 (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

J'ai tout essayé sans succès.

  • reconstruire consul avec les commande suivante --> NOK
    xivo-service stop
    /etc/init.d/xivo-auth stop
    /etc/init.d/consul stop
    rm -rf /var/lib/consul/*
    dpkg-reconfigure consul
    xivo-service start all

  • recopier/verfier mon certificat SSL --> NOK

Finalement la solution de contournement que j'ai trouvé c'est de désactiver la vérification du certificat par consul (et pour tous les autres aussi) en mettant verify_certificate à False dans le fichier /etc/xivo/custom/custom-certificate.yml
consul:
host: xxxx.fr
verify: False

Depuis le service xivo-ctid refonctionne et le service webrtc est à nouveau fonctionnel.

Auriez-vous une piste à me donner pour me permettre de résoudre vraiment ce problème ?

Bien cordialement

Steeve PLACIDE


Replies (2)

RE: Consul refuse de valider mon certificat SSL - Added by Laurent MEILLER 2 months ago

Bonjour, nous avons eu déjà une occurrence du problème en interne chez nous sans aucune explication rationnelle du pourquoi ça ne fonctionnait pas (droits, hostname... tout y est passé), ce même certif fonctionnait très bien sur un autre machine identique.

Au final, l'infra a changé (pour avoir un certificat interne et un externe) et nous n'avons pas plus investigué que ça le problème.

RE: Consul refuse de valider mon certificat SSL - Added by Steeve Placide 2 months ago

Bonjour Laurent,

Merci pour votre retour.
Effectivement aucune explication rationnelle de notre côté non plus.
Je soupçonne, néanmoins, notre certificat d'autorité de confiance (sectigo-chain.crt) qui ne serait plus pris en compte par xivo. Ce qui pourrait expliquer le refus de valider le "handshake".
Je rappelle que notre certificat fonctionnait il y a encore quelques jours :(
Je vais investiguer de ce côté.

Par contre j'avais déjà constaté ce défaut "xivo-ctid KO" quand j'effectuais la MAJ du système. Obligé de faire des rollback à chaque mise à jour.
Je suis sous Debian 10. Un bug avec une version d'openssl ?

Je suis preneur de pistes de recherche... Car ma solution reste viable pour l'instant mais pas pérenne.

En tout cas merci Laurent pour votre réponse en plein mois d'aout !

    (1-2/2)
    Add picture from clipboard (Maximum size: 147 MB)