geoserver en https

[Arnaud DUBREUIL]

Bonjour à tous et mes meilleurs voeux pour cette nouvelle année!

Je viens de migrer notre IDS en 15.06.  J'ai opté pour un accès en tout HTTPS, dont geoserver....et j'ai constaté que les flux émis par notre geoserver en https n'étaient pas accessible depuis l'exterieur de notre IDS et j'ai le message d'erreur  suivant depuis d'autre plateforme georchestra:
 
"Une erreur est survenue.
Le serveur est temporairement indisponible. Veuillez réessayer ultérieurement.. "

Par contre, aucun souci en "interne" à notre IDS (voir notre flux wms en https depuis notre mapfishapp).

Depuis QGIS j'ai ce message d'erreur également :

"Une erreur SSL a été rencontrée lors de l'accès à l'adresse https://geodata.umr-lisah.fr/geoserver/wms?SERVICE=WMS&REQUEST=GetCapabilities :

Le certificat de l'émetteur d'un certificat converti localement est introuvable

Le certificat CA racine n'est pas sécurisé pour cet objectif

Aucun certificat n'a pu être vérifié"

En http tout fonctionne.

J'ai utilisé nos certificats ssl lié à notre domaine umr-lisah.fr et sous domaines associés (www, geodata). Je n'ai pas l'impression d'avoir de souci avec ces certificats certifiés par TERENA. L'interface web de mon geoserver est accessible depuis l'exterieur en https sans souci....Je peux voir depuis notre IDS les flux en https d'autres georchestra....

Une idée? Celles et ceux qui ont tout en https, avez vous mis en place une conf spéciale? Je vois que sur mon serveur de test j'ai le même souci avec des certificats auto-signés!

Par avance merci si vous pouvez éclairer ma lanterne.

Bonne journée à tous,

Arnaud

--

Arnaud DUBREUIL Développeur de systèmes d'information arnaud....@supagro.inra.fr Tél : +33 1 (0)4 99 61 23 47 UMR LISAH - Laboratoire des Intéractions Sol-Agrosystème-Hydrosystème

2 place Viala, Bât.24 34060 Montpellier Cedex 2 - France www.umr-lisah.fr www.obs-omere.org

[Landry Breuil]

Une idée, oui, j'ai joué avec ca y'a 2-3j pour faire reconnaitre un
certif signé par COMODO pour un moissonage geonetwork en https - donc
y'a des étapes a vérifier:

le 'trustStore' du tomcat 'client' (dans le cas ou tu teste depuis une
autre instance georchestra) doit aussi contenir tout les certificats
'connus' de java. ie verifier que ceux provenant de
/etc/ssl/certs/java/cacerts sont bien dedans via keytool -list. Quand tu
teste depuis ton propre mapfishapp, vu que c'est sur le meme domaine il
ne passe pas par le proxy..

cf
https://github.com/georchestra/georchestra/blob/master/doc/setup/tomcat.md#ca-certificates

Si j'essaie dans sdi.georchestra.org, cette erreur 503 me parait
etrange, il faut voir tes logs coté serveur - cf
http://sdi.georchestra.org/proxy/?url=https%3A%2F%2Fgeodata.umr-lisah.fr%2Fgeoserver%2Fwms%3FREQUEST%3DGetCapabilities%26SERVICE%3DWMS%26FORMAT%3Dimage%252Fpng

je n'ai pas de souci pour y acceder directement depuis firefox. Il faut
voir si vous n'avez pas un reverse-proxy en frontal qui fasse du
filtrage sur l'user-agent... ou alors le filtrage sur user-agent du
security-proxy.

Apres, pour qgis c'est encore différent car il utilise le 'magasin de
certificats' du systeme normalement, qui doit aussi connaitre l'autorité
racine. Et encore, ca a changé en 2.12 je crois.

Dans tout les cas, SSL... c'est le m****ier.

--
Landry Breuil
Mouton a 5 pattes du CRAIG

[Arnaud DUBREUIL]

Bonjour,

pour info j'ai trouvé l'origine de mon problème....notre certificat SSL de  notre domaine était encrypté en SHA-1 et semblait posé souci et de toute manière n'aurait plus été du tout valide au 1/1/2017. L'INRA m'a fait réencrypter notre certificat en SHA-512 et tout fonctionne nickel...même la connexion au flux wms depuis QGIS!

Bonne journée à tous,

Arnaud

--

[François Van Der Biest]

Bonne nouvelle !

Pour information, je conseillerais désormais de regarder du côté de https://letsencrypt.org/ pour les certificats SSL.

Mis en oeuvre hier sur la machine de démo geOrchestra assez rapidement.

A+

F.

--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Pour obtenir davantage d'options, consultez la page https://groups.google.com/d/optout.

[Hervé Squividant]

Salut Arnaud,

Excellente nouvelle pour le maintien du principe de subsidiarité à l'INRA.

A bientôt,

Hervé

--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Pour obtenir davantage d'options, consultez la page https://groups.google.com/d/optout.

--
Hervé Squividant
UMR SAS (Sol Agro et hydrosystème Spatialisation), Agrocampus Ouest - INRA
65 rue de Saint-Brieuc - CS 84215
35 042 Rennes Cedex
tél: 02 98 95 99 68
Portail GéoSAS