RE: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Michel Py]

> Laurent Seror a écrit :
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté  des 
> keychains java de base,
> mais pour des serveurs qui ont des ips privées (en 10/8) et sans résolution 
> de nom côté client.

A part mettre le nom dans hosts, tu n'as qu'une solution, c'est mettre un 
certificat qui correspond à un nom (quelconque) et faire que le client ignore 
l'erreur du certificat invalide (car il accède la page par l'IP et non par le 
nom).
Wildcard pas cher pour *.toto.com que tu exportes, et ignorer l'erreur.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Radu-Adrian Feurdean]

On Mon, Apr 30, 2018, at 14:31, Laurent wrote:
> Merci pour toutes ces réponses. Je retiens :
> 
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> n'est pas faisable comme indiqué dans mon message initial).

Sans oublier:
 - il est quand-meme recommande d'utiliser les noms DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 15:59, Radu-Adrian Feurdean a écrit :
> On Mon, Apr 30, 2018, at 14:31, Laurent wrote:
>> Merci pour toutes ces réponses. Je retiens :
>>
>> - c'est interdit
>> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
>> n'est pas faisable comme indiqué dans mon message initial).
> 
> Sans oublier:
>  - il est quand-meme recommande d'utiliser les noms DNS.

C'est quand même plus facile à retenir qu'une adresse IP sur 128 bits, n'est-ce
pas ?

Julien
<>

signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] Question sur certificat SSL sur adresse privée

[Stephane Bortzmeyer]

On Mon, Apr 30, 2018 at 04:39:46PM +0200,
 Julien Escario  wrote 
 a message of 92 lines which said:

> >  - il est quand-meme recommande d'utiliser les noms DNS.
> 
> C'est quand même plus facile à retenir qu'une adresse IP sur 128
> bits, n'est-ce pas ?

C'est surtout plus stable : si mon blog passe de Gandi à OVH, je n'ai
pas envie de devoir communiquer à tous mes correspondants la nouvelle
adresse IP.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RE: Craquement voix sur lien fibre

[Fabien H]

Aucun souci sur de l' ESXI depuis de nombreuses années. Attention malgré
tout aux ressource partagées malgré tout, surtout le stockage.


> Pour ma part j'utilise du Asterisk et du Xivo/Wazo, peut être que demain
> cela sera installé sur un cluster type Proxmox... Dois-je m'attendre à des
> problèmes ?
>
> 
> De : Michel Py 
> Envoyé : dimanche 29 avril 2018 21:52:18
> À : 'Cedric Millet (pro)'; Sébastien 65
> Cc : frnog-t...@frnog.org
> Objet : RE: [FRnOG] [TECH] RE: Craquement voix sur lien fibre
>
> >> Michel Py a écrit :
> >> A propos de ce problème, est-ce que quelqu'un ici a déjà installé ce
> produit ?
> >> http://amfeltec.com/products/x1-pci-express-system-timer-2/
>
> > Cedric Millet a écrit :
> > @ Michel : non je ne connais pas cette carte mais ils ne sont pas très
> loquaces sur les
> > détails des composants  qu'elle embarquent ; ou alors je n'ai pas vu
> dans les docs joints.
>
> Je me demande si çà sert à quelque avec Asterisk dans un environnement
> entièrement IP.
> Sur du PC relativement récent qui a HPET activé dans le BIOS, j'ai jamais
> eu de problème.
>
> Avec une partie TDM (j'ai des Digium TE420) le clocking pour les PRI est
> fourni par la carte.
>
>
> Seb, un truc a essayer mais çà serait chez ton fournisseur de tronc SIP çà
> serait d'avoir une carte T1/E1 dans le serveur et d'avoir DAHDI chargé même
> si le PRI n'est pas utilisé. Avec les versions récentes d'Asterisk sous
> Linux quand DAHDI est chargé je pense qu'il utilise le clocking fourni par
> la carte.
>
> Ceci étant dit, ayant lu le fil, je pense pas que c'est un problème de
> clocking. Tu peux avoir l'utilisation CPU du serveur qui fournit le tronc
> SIP ?
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

Hello la liste,

j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
des keychains java de base, mais pour des serveurs qui ont des ips privées
(en 10/8) et sans résolution de nom côté client. Donc je veux signer un
common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
logique mais bon).

Merci,
L.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RE: Craquement voix sur lien fibre

[Sébastien 65]

Je ne connaissais pas ce type de carte pour IPBX...


J'ai eu quelque retour me demandant si je virtualisai l'IPBX, est-ce 
parmis-vous ont des soucis lorsque le centrex est virtualisé ?


Pour ma part j'utilise du Asterisk et du Xivo/Wazo, peut être que demain cela 
sera installé sur un cluster type Proxmox... Dois-je m'attendre à des problèmes 
?


De : Michel Py 
Envoyé : dimanche 29 avril 2018 21:52:18
À : 'Cedric Millet (pro)'; Sébastien 65
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] RE: Craquement voix sur lien fibre

>> Michel Py a écrit :
>> A propos de ce problème, est-ce que quelqu'un ici a déjà installé ce produit 
>> ?
>> http://amfeltec.com/products/x1-pci-express-system-timer-2/

> Cedric Millet a écrit :
> @ Michel : non je ne connais pas cette carte mais ils ne sont pas très 
> loquaces sur les
> détails des composants  qu'elle embarquent ; ou alors je n'ai pas vu dans les 
> docs joints.

Je me demande si çà sert à quelque avec Asterisk dans un environnement 
entièrement IP.
Sur du PC relativement récent qui a HPET activé dans le BIOS, j'ai jamais eu de 
problème.

Avec une partie TDM (j'ai des Digium TE420) le clocking pour les PRI est fourni 
par la carte.


Seb, un truc a essayer mais çà serait chez ton fournisseur de tronc SIP çà 
serait d'avoir une carte T1/E1 dans le serveur et d'avoir DAHDI chargé même si 
le PRI n'est pas utilisé. Avec les versions récentes d'Asterisk sous Linux 
quand DAHDI est chargé je pense qu'il utilise le clocking fourni par la carte.

Ceci étant dit, ayant lu le fil, je pense pas que c'est un problème de 
clocking. Tu peux avoir l'utilisation CPU du serveur qui fournit le tronc SIP ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RE: Craquement voix sur lien fibre

[Olivier Lange]

Pas de soucis de notre coté, que ce soit sur du proxmox ou du VMWare. Par
contre:
- SSD exclusivement
- RAM dédié et garantie
- CPU à ne pas trop surchargé.

Par contre je ne mélange pas. C'est a dire que les hosts n'ont que des
ipbx. J'évite d'avoir un serveur de log ou une VM Windows sur le même host.

Olivier

Le 30 avril 2018 à 10:45, Fabien H  a écrit :

> Aucun souci sur de l' ESXI depuis de nombreuses années. Attention malgré
> tout aux ressource partagées malgré tout, surtout le stockage.
>
>
> > Pour ma part j'utilise du Asterisk et du Xivo/Wazo, peut être que demain
> > cela sera installé sur un cluster type Proxmox... Dois-je m'attendre à
> des
> > problèmes ?
> >
> > 
> > De : Michel Py 
> > Envoyé : dimanche 29 avril 2018 21:52:18
> > À : 'Cedric Millet (pro)'; Sébastien 65
> > Cc : frnog-t...@frnog.org
> > Objet : RE: [FRnOG] [TECH] RE: Craquement voix sur lien fibre
> >
> > >> Michel Py a écrit :
> > >> A propos de ce problème, est-ce que quelqu'un ici a déjà installé ce
> > produit ?
> > >> http://amfeltec.com/products/x1-pci-express-system-timer-2/
> >
> > > Cedric Millet a écrit :
> > > @ Michel : non je ne connais pas cette carte mais ils ne sont pas très
> > loquaces sur les
> > > détails des composants  qu'elle embarquent ; ou alors je n'ai pas vu
> > dans les docs joints.
> >
> > Je me demande si çà sert à quelque avec Asterisk dans un environnement
> > entièrement IP.
> > Sur du PC relativement récent qui a HPET activé dans le BIOS, j'ai jamais
> > eu de problème.
> >
> > Avec une partie TDM (j'ai des Digium TE420) le clocking pour les PRI est
> > fourni par la carte.
> >
> >
> > Seb, un truc a essayer mais çà serait chez ton fournisseur de tronc SIP
> çà
> > serait d'avoir une carte T1/E1 dans le serveur et d'avoir DAHDI chargé
> même
> > si le PRI n'est pas utilisé. Avec les versions récentes d'Asterisk sous
> > Linux quand DAHDI est chargé je pense qu'il utilise le clocking fourni
> par
> > la carte.
> >
> > Ceci étant dit, ayant lu le fil, je pense pas que c'est un problème de
> > clocking. Tu peux avoir l'utilisation CPU du serveur qui fournit le tronc
> > SIP ?
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RE: Craquement voix sur lien fibre

[Julien Escario]

Le 30/04/2018 à 10:37, Sébastien 65 a écrit :
> Je ne connaissais pas ce type de carte pour IPBX...
> 
> 
> J'ai eu quelque retour me demandant si je virtualisai l'IPBX, est-ce 
> parmis-vous ont des soucis lorsque le centrex est virtualisé ?
> 
> 
> Pour ma part j'utilise du Asterisk et du Xivo/Wazo, peut être que demain cela 
> sera installé sur un cluster type Proxmox... Dois-je m'attendre à des 
> problèmes ?

Wazo sur Proxmox, aucun soucis mais ça dépend peut être de pas mal de facteurs :
type de bios de la VM, ACPI oui/non, carte mère de l'hyperviseur.
En tout cas, sur Proxmox 4 & 5, pas de problème.

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Wallace]

On 30/04/2018 12:42, Jonathan Leroy wrote:
>
> Salut,
>
> Aucun CA ne te fournira un certificat pour une IP RFC 1918 car c'est
> formellement interdit par les Baseline Requirements du CA/B Forum.
> Et c'est bien normal, puisque la propriété de ces IP n'est pas vérifiable.
>
> Source : 
> https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.6.pdf,
> section 7.1.4.2.1.
>
Que dire de https://1.1.1.1/ qui a un certificat valide de DigiCert pour
*.cloudflare-dns.com avec en alt name des IP en dur?
A priori ça semble possible du moment que le CN soit un domaine même pas
utilisé.




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Radu-Adrian Feurdean]

On Mon, Apr 30, 2018, at 20:58, Wallace wrote:
> 
> Que dire de https://1.1.1.1/ qui a un certificat valide de DigiCert pour
> *.cloudflare-dns.com avec en alt name des IP en dur?
> A priori ça semble possible du moment que le CN soit un domaine même pas
> utilisé.

C'est une IP publique.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

Merci pour toutes ces réponses. Je retiens :

- c'est interdit
- il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
n'est pas faisable comme indiqué dans mon message initial).

À bientôt.

L.

Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
écrit :

> Le 30/04/2018 à 12:14, Julien Escario a écrit :
>
> > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> >> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> tu
> >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> serveur
> >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> ton serveur
> >> privé quand celle-ci change.
> > Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de
> Bind).
> > D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard
> avec L.E.
> >
> > Julien
>
> Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> ta zone. ;)
>
> Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> ont considéré que seul le contrôle de la zone DNS était une preuve
> suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> parfaitement d’accord).
>
> Bruno
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Phil Regnauld]

Et Letsencrypt avec DNS + wildcard...

Laurent (laurent) writes:
> Merci pour toutes ces réponses. Je retiens :
> 
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> n'est pas faisable comme indiqué dans mon message initial).
> 
> À bientôt.
> 
> L.
> 
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> écrit :
> 
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> > >> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> > parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Duchet Rémy]

Autre option :
Utiliser un serveur avec IP et fqdn "resolvable" pour générer la demande et 
ensuite exporter le tout pour l'importer sur le server avec l'IP privé.


> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Laurent
> Envoyé : lundi, 30 avril 2018 14:32
> À : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée
>
> Merci pour toutes ces réponses. Je retiens :
>
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste 
> n'est
> pas faisable comme indiqué dans mon message initial).
>
> À bientôt.
>
> L.
>
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> écrit :
>
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> > >> puisque lest'encrypt se connecte a ton serveur pour verifier sa
> > >> validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef
> > >> sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais
> > > pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du
> > > wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton
> > Bind/Knot/NSD/Whatever, tu peux très bien gérer l’ajout du champ
> > correspondant qui va bien dans ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je
> > suis parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 13:58, Bruno Pagani a écrit :
> Le 30/04/2018 à 12:14, Julien Escario a écrit :
> 
>> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
>>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
>>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu
>>> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur
>>> publique puis en copiant (plus ou moins automatiquement) la clef sur ton 
>>> serveur
>>> privé quand celle-ci change.
>> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de 
>> Bind).
>> D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard 
>> avec L.E.
>>
>> Julien
> 
> Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> ta zone. ;)

Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en interne
avec TON API.
Par exemple avec https://github.com/Neilpang/acme.sh :
nsupdate API
ISPConfig 3.1 API
Knot DNS API
DirectAdmin API

Et plus cryptique (il faut que je teste à l'occaze) :
PowerDNS.com API

A priori, ça inclus bien l'API de ton pdns :
#PDNS_Url="http://ns.example.com:8081;

Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non trivial).

> Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> ont considéré que seul le contrôle de la zone DNS était une preuve
> suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> parfaitement d’accord).

+1.

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Quentin Leconte]

Re-bonjour,

Il semblerait que GlobalSign propose une solution « IntranetSSL », qui permet 
d’émettre des certificats sur IP et domaines privés. Cependant, ils ne le font 
pas sur leur CA public, ils utilisent un CA non public qu’il faudra surement 
que tu déploies sur ton parc.
https://www.globalsign.fr/fr/ssl/intranetssl/ 


Bonne journée,
Quentin


> Le 30 avr. 2018 à 12:18, Quentin Leconte, SHPV FRANCE 
>  a écrit :
> 
> Bonjour Laurent,
> 
> Nous avons déjà fait certifier certaines de nos IP publiques pour des 
> clients. Je vérifie de mon côté si nous pouvons faire la même avec des IP 
> privées et je reviens vers toi.
> 
> Quentin L
> 
>> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
>> 
>> Hello la liste,
>> 
>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>> logique mais bon).
>> 
>> Merci,
>> L.
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Bruno Pagani]

Autant faire ça soi-même dans ce cas…

Bruno

Le 30/04/2018 à 13:49, Quentin Leconte a écrit :
> Re-bonjour,
>
> Il semblerait que GlobalSign propose une solution « IntranetSSL », qui permet 
> d’émettre des certificats sur IP et domaines privés. Cependant, ils ne le 
> font pas sur leur CA public, ils utilisent un CA non public qu’il faudra 
> surement que tu déploies sur ton parc.
> https://www.globalsign.fr/fr/ssl/intranetssl/ 
> 
>
> Bonne journée,
> Quentin
>
>
>> Le 30 avr. 2018 à 12:18, Quentin Leconte, SHPV FRANCE 
>>  a écrit :
>>
>> Bonjour Laurent,
>>
>> Nous avons déjà fait certifier certaines de nos IP publiques pour des 
>> clients. Je vérifie de mon côté si nous pouvons faire la même avec des IP 
>> privées et je reviens vers toi.
>>
>> Quentin L
>>
>>> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
>>>
>>> Hello la liste,
>>>
>>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>>> logique mais bon).
>>>
>>> Merci,
>>> L.
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

[FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Bruno Pagani]

Le 30/04/2018 à 12:14, Julien Escario a écrit :

> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu
>> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur
>> publique puis en copiant (plus ou moins automatiquement) la clef sur ton 
>> serveur
>> privé quand celle-ci change.
> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de 
> Bind).
> D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard avec 
> L.E.
>
> Julien

Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
ta zone. ;)

Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
ont considéré que seul le contrôle de la zone DNS était une preuve
suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
parfaitement d’accord).

Bruno





signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 11:26, Laurent a écrit :
> Hello la liste,
> 
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
> 
> Merci,
> L.

Pas certain de comprendre : la fait que l'IP soit publique n'interresse que
let's encrypt qui utilise ACME pour valider.

Un C.A. classique passera par une validation du type 'postmas...@truc.com' pour
faire la validation de tous les certificats *.truc.com.

Ca doit même pouvoir se faire en DNS (en tout cas avec Comodo).

Seul contrainte : le CN doit faire partie d'un domaine 'résolvable' publiquement
(aka avec un whois qui marche). Pas de truc.monnom ou bidulle.montld par 
exemple.
Donc rien en .local pour lequel je vois souvent passer des demandes.

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[pascal.val...@free.fr]

Bonjour,

un certificat s'achete sur la base d'un nom de machine pour un domaine 
rattaché (exemple : www pour domain.tld).


tu peux donc gererer ta clef de serveur sur ton serveur en ip privé, 
faire le csr et demander sa signature sans probleme a une autorité de 
certification.


par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque 
lest'encrypt se connecte a ton serveur pour verifier sa validité. mais 
tu pourrais tricher en faisant un wildcart avec let's encrypt sur un 
serveur publique puis en copiant (plus ou moins automatiquement) la clef 
sur ton serveur privé quand celle-ci change.


pour verifier son chagnement, plein de solution. script a base de rsync 
ou de git, selon tes preferences, avec relance d'apache dans la foulée.


Voila.



Le 30/04/2018 à 11:26, Laurent a écrit :

Hello la liste,

j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
des keychains java de base, mais pour des serveurs qui ont des ips privées
(en 10/8) et sans résolution de nom côté client. Donc je veux signer un
common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
logique mais bon).

Merci,
L.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Michel 'ic' Luczak]

Hello,

> On 30 Apr 2018, at 11:26, Laurent  wrote:
> 
> mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client.

Mettre le domaine du certificat dans /etc/hosts ?

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Zak]

Hello,

2018-04-30 12:05 GMT+02:00 Julien Escario :
> Le 30/04/2018 à 11:26, Laurent a écrit :
>>
>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>> logique mais bon).
>
> Pas certain de comprendre : la fait que l'IP soit publique n'interresse que
> let's encrypt qui utilise ACME pour valider.
>
> Un C.A. classique passera par une validation du type 'postmas...@truc.com' 
> pour
> faire la validation de tous les certificats *.truc.com.
>
> Ca doit même pouvoir se faire en DNS (en tout cas avec Comodo).

la validation peut aussi se faire via dns pour Letsencrypt sans que le
serveur ne soit accessible via http :)
https://community.letsencrypt.org/t/how-to-use-dns-01-challenge/28593

> Seul contrainte : le CN doit faire partie d'un domaine 'résolvable' 
> publiquement
> (aka avec un whois qui marche). Pas de truc.monnom ou bidulle.montld par 
> exemple.
> Donc rien en .local pour lequel je vois souvent passer des demandes.

-- 
Hofstadter's Law: It always takes longer than you expect, even when
you take into account Hofstadter's Law.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Quentin Leconte, SHPV FRANCE]

Bonjour Laurent,

Nous avons déjà fait certifier certaines de nos IP publiques pour des clients. 
Je vérifie de mon côté si nous pouvons faire la même avec des IP privées et je 
reviens vers toi.

Quentin L

> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
> 
> Hello la liste,
> 
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
> 
> Merci,
> L.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Jonathan Leroy]

Le 30 avril 2018 à 11:26, Laurent  a écrit :
> Hello la liste,
>
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).

Salut,

Aucun CA ne te fournira un certificat pour une IP RFC 1918 car c'est
formellement interdit par les Baseline Requirements du CA/B Forum.
Et c'est bien normal, puisque la propriété de ces IP n'est pas vérifiable.

Source : https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.6.pdf,
section 7.1.4.2.1.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu
> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur
> publique puis en copiant (plus ou moins automatiquement) la clef sur ton 
> serveur
> privé quand celle-ci change.

Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de Bind).
D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard avec 
L.E.

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Landry Minoza]

Le CA / Browser Forum interdit explicitement cette pratique à toutes les AC
publiques depuis 2016 (
https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf)
il est donc interdit pour toute AC présente par défaut dans les OS et
navigateurs de signer un certificat pour un domaine non enregistré ou une
adresse IP réservée.
Les deux options possibles sont donc :

   - Utiliser une AC interne (passé le setup pas toujours simple et le
   déploiement du certificat racine, il y a plein d’avantages…).
   - Faire signer un certificat pour un domaine qui t’appartient (ou à ton
   client) par n’importe quelle AC du marché autorisant des challenges de type
   DNS – voir mail (L.E. bien entendu, mais la plupart le proposent pour les
   certificats DV).

Cordialement,

Le lun. 30 avr. 2018 à 11:26, Laurent  a écrit :

> Hello la liste,
>
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
>
> Merci,
> L.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Aymeric]

On 2018-04-30 14:46, Julien Escario wrote:



Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en 
interne

avec TON API.
Par exemple avec https://github.com/Neilpang/acme.sh :
nsupdate API




Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non 
trivial).


C’est ce que j’utilise avec nom de domaine (bind+nsupdate+L.E.) et ça 
fonctionne très bien (tant que tu ne commence pas à mélanger deux noms 
de domaine dans le même certificat gérer par deux trucs différents…).


Aymeric.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

Pas d'IP publique & pas de dns dispo donc non

Le 30 avril 2018 à 12:36, Phil Regnauld  a écrit :

> Et Letsencrypt avec DNS + wildcard...
>
> Laurent (laurent) writes:
> > Merci pour toutes ces réponses. Je retiens :
> >
> > - c'est interdit
> > - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> > n'est pas faisable comme indiqué dans mon message initial).
> >
> > À bientôt.
> >
> > L.
> >
> > Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> > écrit :
> >
> > > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> > >
> > > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> puisque
> > > >> lest'encrypt se connecte a ton serveur pour verifier sa validité.
> mais
> > > tu
> > > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > > serveur
> > > >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> > > ton serveur
> > > >> privé quand celle-ci change.
> > > > Ou passer par une API DNS (support qui s'élargit chaque jour mais
> pas de
> > > Bind).
> > > > D'ailleurs indispensable (si j'ai bien compris) pour générer du
> wildcard
> > > avec L.E.
> > > >
> > > > Julien
> > >
> > > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > > crois (Gandi, OVH, etc.). Si tu fais tourner ton
> Bind/Knot/NSD/Whatever,
> > > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > > ta zone. ;)
> > >
> > > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > > ont considéré que seul le contrôle de la zone DNS était une preuve
> > > suffisante de la légitimité à demander un wildcard, ce avec quoi je
> suis
> > > parfaitement d’accord).
> > >
> > > Bruno
> > >
> > >
> > >
> > >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

pas dns possible, pas possible de rajouter de serveurs autre qu'un https,
pas possible de faire apprendre ce serveur aux clients de toutes les facons

Le 30 avril 2018 à 12:46, Julien Escario  a
écrit :

> Le 30/04/2018 à 13:58, Bruno Pagani a écrit :
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> >> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> >>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> puisque
> >>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> tu
> >>> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> serveur
> >>> publique puis en copiant (plus ou moins automatiquement) la clef sur
> ton serveur
> >>> privé quand celle-ci change.
> >> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas
> de Bind).
> >> D'ailleurs indispensable (si j'ai bien compris) pour générer du
> wildcard avec L.E.
> >>
> >> Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > ta zone. ;)
>
> Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en
> interne
> avec TON API.
> Par exemple avec https://github.com/Neilpang/acme.sh :
> nsupdate API
> ISPConfig 3.1 API
> Knot DNS API
> DirectAdmin API
>
> Et plus cryptique (il faut que je teste à l'occaze) :
> PowerDNS.com API
>
> A priori, ça inclus bien l'API de ton pdns :
> #PDNS_Url="http://ns.example.com:8081;
>
> Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non
> trivial).
>
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> > parfaitement d’accord).
>
> +1.
>
> Julien
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] opération réseau sur le 06800

[Sabri Boukari]

Bonjour,

J'ai eu un contact pour configurer un Routeur Lancome.

Voici la description et le contacT:

We are looking for a network engineer for an activity that is on May 2nd.
The engineer has to install Lancom Router. If interested, kindly send me
your CV at
vi...@rexus-group.com

-


*Avenue des alpes, 06800 Cagnes Sur Mer*140 euro
Bonne chance,

-- 
Boukari Sabri

Cloud DevOps Specialist
*Failure is the Great Teacher*

---
Liste de diffusion du FRnOG
http://www.frnog.org/