Echec port 80, 443 après màj du CA CERT

[rv91]

Bonjour à tous,
J'ai procédé au renouvellement annuel du certificat de mon SME 7.5 SERVER-ONLY selon les tutos figurant dans contribs.org :
- Custom Certificate for SME 7.1.3 and above versions
- Self signed certificates
avant de chosir celui qui me convenait :
- Custom CA Certificate

Ce n'est pas la première fois que je renouvelle le certificat du serveur, mais j'oublie chaque année comment procéder d'où ce tâtonnement.

Au redémarrage, le serveur n'est accessible qu'en sshd, la connexion échoue sur les port 80 et 443.

Les premières pistes vaines :
service httpd-e-smith restart => [OK]
netstat -a | grep LISTEN => ports 8088, imap etc LISTEN
diff /var/service/imap/ssl/imapd.pem /var/service/qpsmtpd/ssl/cert.pem => néant
diff /var/service/qpsmtpd/ssl/cert.pem /home/e-smith/ssl.pem/$HOSTNAME.mondomaine.pem => néant
ping de la patte orange-dmz du firewall => [OK]
ping de http://www.free.fr => [KO]
ping de 212.27.48.10 (free.fr) => [KO]

Je songe à un conflit de certificat suite à une mauvaise manip ...
Merci de me faire part de vos idées.
@ vs lire,
rv

nota : à part la contrib zarafa pour la synchronisation des mail, agenda et contacts de toute la famille, une contrib pour récupérer tous nos email automatiquement et un peu de stockage de fichiers perso il n'y a aucune personnalisation du serveur serveur.

[jibe]

Au redémarrage, le serveur n'est accessible qu'en sshd, la connexion échoue sur les port 80 et 443.

Côté LAN, WAN ou les deux ?

ping de http://www.free.fr => [KO]
ping de 212.27.48.10 (free.fr) => [KO]

Là, manifestement, tu as un problème de connexion ADSL ! Je ne vois pas en quoi un mauvais certificat empêcherait le ping...

AMHA, tu devrais d'abord résoudre ce problème, puis répondre à ma première question avant qu'on puisse aller plus loin...

[rv91]

Bonjour,
Merci de ton intérêt.

- SME en SERVER-ONLY derrière IPcop (DMZ-réseau orange) derrière freebox ; le LAN est sur la carte verte de IPcop.
Donc pas de LAN derrière la SME.
J'ai testé la SME branchée en direct derrière la freebox : ping impossible ; mais je n'ai pas touché aux règles NAT de la freebox lors du test.

Depuis un PC du LAN:
ping 192.168.2.252 (IP de SME)=> [OK]
ping monDNS => [OK]
ping http://www.free.fr => [OK]

Depuis SME :
ping 192.168.2.254 (IPcop carte orange) => [OK]
ping 192.168.1.254 (IPcop carte vert) => [OK]
ping 192.168.1.240 (mon PC) =>[KO]

Je vais regarder ce point ...
@+
rv

[rv91]

... suite, qlqs test de connexion :

Depuis le WAN avec un PC :
ping peyrot.limozin.net (c'est le DNS de la SME) => [OK]

Depuis la SME en sshd :
[root@e-limo1 /]# ping http://www.google.fr
PING http://www.l.google.com (66.249.92.104) 56(84) bytes of data.
--- http://www.l.google.com ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 4998ms =>[KO]

[root@e-limo1 /]# traceroute http://www.google.fr
traceroute to http://www.l.google.com (66.249.92.104), 30 hops max, 38 byte packets
1 pc-00254 (192.168.2.254) 0.178 ms 0.135 ms 0.116 ms
...
10 par03s01-in-f104.1e100.net (66.249.92.104) 22.047 ms 22.040 ms 20.185 ms =[OK]

Depuis le WAN avec un autre serveur linux :
[Bureau flash]$telnet peyrot.limozin.net 80
Trying 88.178.85.98...
Connected to peyrot.limozin.net (88.178.85.98). => le port 80 du serveur répond !
Escape character is '^]'.

Nota :
j'ai noté un comportement curieux du service httpd-e-smith ; il répond OK à la commande service httpd-e-smith stop, mais il ne s'arrête que sur la commande kill9.

Mes tests sont décousus car je ne vois pas où chercher.
Le problème du ping est un indice, mais il semble incriminer IPcop puisque je peux pinger ses cartes orange, verte et rouges mais pas en dehors ...

@+
Prêt à tester vos idées ou pistes ....

[rv91]

Des pistes dans ces log :

1- PLUGIN TLS -
[root@e-limo1 /]# vi /var/log/qpsmtpd/current
....
@400000004c97c7ff122ad354 5020 tls plugin (init): ciphers: HIGH
@400000004c97c7ff1246758c Could not create SSL context: at /usr/share/qpsmtpd/plugins/tls line 81.

or
[root@e-limo1 /]# vi /usr/share/qpsmtpd/plugins/tls
...
This plugin implements basic TLS support. It can also be used to support
port 465 (SMTP over SSL), but only with qpsmtpd-forkserver. In this case,
be sure to load plugins/tls before any other connect plugins and start
qpsmtpd like this:

qpsmtpd-forkserver --port 25 --port 465

You can also specify multiple --listen-address options as well; see the help
for qpsmtpd-forkserver for more details.

If TLS is successfully negotiated then the C<tls_enabled> field in the
Connection notes is set. If you wish to make TLS mandatory you should check
that field and take appropriate action. Note that you can only do that from
MAIL FROM onwards.

Use the script C<plugins/tls_cert> to automatically generate a self-signed => je n'ai pas utilisé ce script
certificate with the appropriate characteristics. Otherwise, you should
give absolute pathnames to the certificate, key, and the CA root cert
used to sign that certificate.

Nota :concernant le service qpsmtpd-forkser
[root@e-limo1 plugins]# top
top - 23:32:33 up 9:30, 1 user, load average: 3.14, 3.09, 3.09
Tasks: 152 total, 3 running, 149 sleeping, 0 stopped, 0 zombie
Cpu(s): 89.2% us, 10.6% sy, 0.0% ni, 0.1% id, 0.1% wa, 0.0% hi, 0.0% si
Mem: 450832k total, 423512k used, 27320k free, 22588k buffers
Swap: 915576k total, 216k used, 915360k free, 145140k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
16573 root 18 0 8672 4988 1756 R 31.3 1.1 0:00.16 qpsmtpd-forkser


2-No space left
[root@e-limo1 /]# cd /var/log/httpd/error_log.20100919184136
...
[Mon Sep 20 22:53:11 2010] [crit] (28)No space left on device: mod_rewrite: could not create rewrite_log_lock
Configuration Failed
[Mon Sep 20 22:53:12 2010] [crit] (28)No space left on device: mod_rewrite: could not create rewrite_log_lock
Configuration Failed

3-Plus aucun log depuis la màj :
[root@e-limo1 /]# vi /var/log/httpd/access_log.20100918190333
...
peyrot.limozin.net 80.125.176.123 - zarafa\\rv [19/Sep/2010:16:06:19 +0200] "POST /Microsoft-Server-ActiveSync?User=rv&DeviceId=Appl84942YGU3NP&DeviceType=iPhone&Cmd=Sync HTTP/1.1" 200 17940 "-" "Apple-iPhone2C1/802.117"
peyrot.limozin.net 80.125.176.123 - zarafa\\rv [19/Sep/2010:16:06:30 +0200] "POST /Microsoft-Server-ActiveSync?User=rv&DeviceId=Appl84942YGU3NP&DeviceType=iPhone&Cmd=Sync HTTP/1.1" 200 18595 "-" "Apple-iPhone2C1/802.117"
plus rien depuis le 19.

4- je ne sais pas ce que cela signifie :
[root@e-limo1 /]# vi /var/log/imaps/current
...
@400000004c97c7e218487034 imapfront-auth[4890]: A0001 OK CAPABILITY completed
@400000004c97c7e21af592bc imap(admin): Info: Disconnected: Logged out
@400000004c97c7e21af5aa2c sslio[4890]: info: bytes in: 685
@400000004c97c7e21af5b5e4 sslio[4890]: info: bytes ou: 2176
@400000004c97c7e21b8b1044 tcpsvd: info: end 4890 exit 0
@400000004c97c7e21b8b2b9c tcpsvd: info: status 0/400
@400000004c97cb6725e24bac tcpsvd: info: status 1/400
@400000004c97cb6725e2631c tcpsvd: info: pid 8590 from 192.168.2.252
@400000004c97cb6725e26ed4 tcpsvd: info: concurrency 8590 192.168.2.252 1/12
@400000004c97cb6725e27a8c tcpsvd: info: start 8590 0:192.168.2.252 ::192.168.2.252:33645 ./peers/192.168.2
@400000004c97cb6725e28644 imapfront-auth[8590]: * OK imapfront ready.
@400000004c97cb6729031f64 imapfront-auth[8590]: * CAPABILITY IMAP4rev1 AUTH=LOGIN IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS
@400000004c97cb6729033abc imapfront-auth[8590]: A0001 OK CAPABILITY completed
@400000004c97cb672baaa084 imap(admin): Info: Disconnected: Logged out
@400000004c97cb672bbce834 tcpsvd: info: end 8590 exit 0
@400000004c97cb672bbcffa4 tcpsvd: info: status 0/400
@400000004c97cb672bbd0b5c sslio[8590]: info: bytes in: 685
@400000004c97cb672bbd132c sslio[8590]: info: bytes ou: 2176


Je vous remercie de vos interprétations.
Faut-il créer manuellement les chemins pour <ssl/qpsmtpd-server.crt> <ssl/qpsmtpd-server.key> et <ssl/qpsmtpd-ca.crt> ou lancer le script C<plugins/tls_cert> ?

@ vous lire.

[rv91]

1er problème = identifié :

error_log de httpd : (28)No space left on device: mod_rewrite: could not create rewrite_log_lock

ça n'est ni les DD ni les "semaphore-arrays" mais un problème dans httpd-conf : en 2 endroits, l'expression {mon domaine} figure en lieu et place du véritable nom de mon domaine.
vraisemblablement un copier/coller trop rapide de l'une des commandes des contrib testée a conduit à modifié les templates et donc httpd.conf après reconfiguration ...
=> j'ai corrigé à la main (pour l'instant) et la connection http et https est fonctionne.
A faire : chercher la template-custom qui a été modifiée.

2nd problème = en cours :

log de qpsmtpd : Could not create SSL context: at /usr/share/qpsmtpd/plugins/tls line 81.

Use the script C<plugins/tls_cert> to automatically generate a self-signed
certificate with the appropriate characteristics. Otherwise, you should
give absolute pathnames to the certificate, key, and the CA root cert
used to sign that certificate.

je n'ai pas encore trouvé comment indiquer les chemins.
a priori, je n'ai trouvé aucune doc sur ce plugin.


@ suivre

[rv91]

2nd problème résolu en m'inspirant d'un tuto de smeserver.pialasse.com pour créer le certificat pem (concatenation de key et crt) que j'ai ensuite placé dans les différents endroits plausibles ...

cat /home/e-smith/ssl.key/HOST.DOMAIN.key > /var/service/imap/ssl/imapd.pem
cat /home/e-smith/ssl.crt /HOST.DOMAINr.crt >>/var/service/imap/ssl/imapd.pem
cat /home/e-smith/ssl.key/HOST.DOMAIN.key >/var/service/qpsmtpd/ssl/HOST.DOMAIN.pem
cat /home/e-smith/ssl.crt /HOST.DOMAIN.crt >>/var/service/qpsmtpd/ssl/HOST.DOMAIN.pem

puis
cp /var/service/qpsmtpd/ssl/HOST.DOMAIN.pem /home/e-smith/ssl.pem/HOST.DOMAIN.pem

... maintenant http, https, imaps et smtps fonctionne mais ça n'est pas encore propre.