Forums » Discussions & Questions »
Consul refuse de valider mon certificat SSL
Ajouté par Steeve Placide il y a plus d'un an
Bonjour,
Depuis quelques jours je bataille avec notre Xivo (version Helios 2021.15.07) pour que notre certificat SSL soit validé par le module ctid et que le service webrtc fonctionne.
Suite à un reboot violent du système (coupure électrique), le service xivo-ctid refuse de se lancer. Donc plus d'authentification possible pour tous les utilisateurs utilisant le webrtc via l'appli UC Assistant.
Il plante systématiquement sur la partie "bad handshake: Error" avec le retour suivant:
tail /var/log/xivo-ctid.log
AgentdClientError: invalid token or unauthorized
(INFO) (main): STOPPING XiVO CTI Server (pid 26809) / uptime 0 s
(INFO) (service_discovery): Deregistering xivo-ctid from Consul services: 123b0d3c-9ed3-4027-8a29-43f6ffa63329
(CRITICAL) (root): HTTPSConnectionPool(host='xxx.fr', port=8500): Max retries exceeded with url: /v1/agent/check/deregister/service:123b0d3c-9ed3-4027-8a29-43f6ffa63329 (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
J'ai tout essayé sans succès.
reconstruire consul avec les commande suivante --> NOK
xivo-service stop
/etc/init.d/xivo-auth stop
/etc/init.d/consul stop
rm -rf /var/lib/consul/*
dpkg-reconfigure consul
xivo-service start allrecopier/verfier mon certificat SSL --> NOK
Finalement la solution de contournement que j'ai trouvé c'est de désactiver la vérification du certificat par consul (et pour tous les autres aussi) en mettant verify_certificate à False dans le fichier /etc/xivo/custom/custom-certificate.yml
consul:
host: xxxx.fr
verify: False
Depuis le service xivo-ctid refonctionne et le service webrtc est à nouveau fonctionnel.
Auriez-vous une piste à me donner pour me permettre de résoudre vraiment ce problème ?
Bien cordialement
Steeve PLACIDE
Réponses (3)
RE: Consul refuse de valider mon certificat SSL - Ajouté par Laurent MEILLER il y a plus d'un an
Bonjour, nous avons eu déjà une occurrence du problème en interne chez nous sans aucune explication rationnelle du pourquoi ça ne fonctionnait pas (droits, hostname... tout y est passé), ce même certif fonctionnait très bien sur un autre machine identique.
Au final, l'infra a changé (pour avoir un certificat interne et un externe) et nous n'avons pas plus investigué que ça le problème.
RE: Consul refuse de valider mon certificat SSL - Ajouté par Steeve Placide il y a plus d'un an
Bonjour Laurent,
Merci pour votre retour.
Effectivement aucune explication rationnelle de notre côté non plus.
Je soupçonne, néanmoins, notre certificat d'autorité de confiance (sectigo-chain.crt) qui ne serait plus pris en compte par xivo. Ce qui pourrait expliquer le refus de valider le "handshake".
Je rappelle que notre certificat fonctionnait il y a encore quelques jours :(
Je vais investiguer de ce côté.
Par contre j'avais déjà constaté ce défaut "xivo-ctid KO" quand j'effectuais la MAJ du système. Obligé de faire des rollback à chaque mise à jour.
Je suis sous Debian 10. Un bug avec une version d'openssl ?
Je suis preneur de pistes de recherche... Car ma solution reste viable pour l'instant mais pas pérenne.
En tout cas merci Laurent pour votre réponse en plein mois d'aout !
RE: Consul refuse de valider mon certificat SSL - Ajouté par Steeve Placide il y a plus d'un an
Bonjour ,
Pour ceux que ça pourrait aider. Finalement l'utilisation des certificats auto-signé pour la partie backend fonctionne et corrige ce défaut.
Je pense que l'autorité de certification de nos certificats n'est pas prise en compte malgré le suivi de la doc "Install Trusted Certificate for Backend services" (https://documentation.xivo.solutions/en/latest/releasenotes/upgrade_from_helios_to_izar.html?highlight=addons).
Bien cordialement
Steeve PLACIDE