Discussion :

[Octopus2k]

Bonjour à tous,

Je vous explique voici mon problème :
Dans l'entreprise nous utilisons sur l'intranet un site (sous serveur CentOS) qui permet des créer/gérer des comptes sur un annuaire Active Directory.
Pour accéder a l'annuaire, on utilise une vérification par certificat.
Jusqu’au mois dernier le site fonctionnait sans problème, puis le certificat est arrivé à expiration.
Il a donc fallu le renouveler et le remettre en place sur le serveur centOS.

Le problème est que même si le certificat est valide, lorsque l'on essaye de se connecter on nous dit qu'il est expiré....
En testant la connexion via openssl pour savoir d'ou vient le problème voila ce que j'obtiens :

J'essaie de me connecter au serveur AD avec le nouveau certificat

# openssl s_client -connect cha.domaine.fr:636 -CAfile /etc/httpd/conf/ssl.crt/cha.pem
CONNECTED(00000003)
[...]
verify error:num=10:certificate has expired
notAfter=Aug 19 15:34:30 2010 GMT
[...]
---

pourtant si je regarde les dates du certificat

# openssl x509 -noout -dates -in /etc/httpd/conf/ssl.crt/cha.pem
notBefore=Nov 12 10:56:49 2007 GMT
notAfter=Nov 12 10:56:49 2012 GMT

J'ai tester de 2 serveurs linux différent et exactement les mêmes erreurs.
Pourtant le certificat installé sur le serveur AD est bien celui qui correspond aux dates qui vont jusqu'en 2012.

Je ne comprends pas pourquoi ça me dit qu'il est bon, et que quand je veux me connecter qu'il est expirée...

Merci d'avance

[Octopus2k]

Me revoilà avec de nouvelles informations.
Je n'ai malheureusement pas trouver de solution mais voici ce que j'ai découvert :

Avec openssl, si je fait une demande de certificat directement a mon serveur AD via la commande :

openssl s_client -showcerts -connect cha:636

Je récupère le certificat serveur, or si je test ce certificat il s'avère que c'est le certificat qui expire en aout, et non celui renouvelé.
Il semble donc que le serveur bloque sur ce certificat.
Pourtant ce certificat est bien dit expiré sur mon serveur AD, et meme si je le révoque le serveur me le renvoie toujours. (et le seul certificat disponible est bien celui qui expire en 2012)

J'ai redémarrer l'autorité de certification mais cela ne change rien.
Je ne peut pas redémarrer le serveur car il y'a en permanence des connectés dessus, et mon chef me l'a tout simplement interdit !

Des idées ? pistes ?