OVH Community, your new community space.

besoin d'aide "Curl Error: Problem with the SSL CA cert (path? access rights?)"


frenchie
16/01/2015, 21h37
SOLUTION

http://kiteplans.info/2015/01/15/sol...re-key-id-bad/
frenchie
16/01/2015, 21h04
Quelqu'un peut il m'indiquer si ceci https://www.centos.org/forums/viewto...p?f=14&t=50588 a un lien avec mon problème ?
frenchie
16/01/2015, 20h19
quand je suis dans etc/ssl

Code:
[root@ns50xxxx ssl]# ls -l
total 0
lrwxrwxrwx 1 root root 16 Oct 28 14:03 certs -> ../pki/tls/certs
et quand je suis dans etc/pki/tls/certs

Code:
[root@ns50xxxx certs]# ls -l
total 1780
-rw-r--r-- 1 root root  786601 Jul 14  2014 ca-bundle.crt
-rw-r--r-- 1 root root 1005005 Jul 14  2014 ca-bundle.trust.crt
-rw------- 1 root root    1464 Nov 15 01:53 localhost.crt
-rwxr-xr-x 1 root root     610 Nov  6 07:36 make-dummy-cert
-rw-r--r-- 1 root root    2242 Nov  6 07:36 Makefile
-rwxr-xr-x 1 root root     829 Nov  6 07:36 renew-dummy-cert
nowwhat
16/01/2015, 19h56
Citation Envoyé par janus57
Bonjour,
@nowwhat visiblement la R3 est pas d’accord avec toi :
Code:
[root@ns50xxxx ~]# curl-config --configure
-bash: curl-config: command not found
Frenchie a exécuté
curl -I -v https://google.com
puis il trouve dans le résultat:
.....
* Initializing NSS with certpath: sql:/etc/pki/nssdb ( ???? )
.....
curl: (77) Problem with the SSL CA cert (path? access rights?)
......
Je conseille de trouver le chemin ou il trouve ces certificats (le fichier ca-certificats.crt il y est).
Puis, exécuter

curl --capath /etc/ssl/certs -I -v -o out https://www.google.com
Ça me donne pour moi:
Code:
* About to connect() to www.google.fr port 443 (#0)
*   Trying 2a00:1450:4007:80b::2003...
* connected
* Connected to www.google.fr (2a00:1450:4007:80b::2003) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
*        subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.google.fr
*        start date: 2014-12-10 11:50:36 GMT
*        expire date: 2015-03-10 00:00:00 GMT
*        subjectAltName: www.google.fr matched
*        issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
*        SSL certificate verify ok.
> HEAD / HTTP/1.1
> User-Agent: curl/7.26.0
> Host: www.google.fr
> Accept: */*
>
* additional stuff not fine transfer.c:1037: 0 0
* HTTP 1.1 or later with persistent connection, pipelining supported
< HTTP/1.1 200 OK
HTTP/1.1 200 OK
< Date: Fri, 16 Jan 2015 18:55:13 GMT
Date: Fri, 16 Jan 2015 18:55:13 GMT
< Expires: -1
Expires: -1
< Cache-Control: private, max-age=0
Cache-Control: private, max-age=0
< Content-Type: text/html; charset=ISO-8859-1
Content-Type: text/html; charset=ISO-8859-1
< Set-Cookie: PREF=ID=b6186f6d0289c797:FF=0:TM=1421434513:LM=1421434513:S=062epuXcdHwhMUp_; expires=Sun, 15-Jan-2017 18:55:13 GMT; path=/; domain=.google.fr
Set-Cookie: PREF=ID=b6186f6d0289c797:FF=0:TM=1421434513:LM=1421434513:S=062epuXcdHwhMUp_; expires=Sun, 15-Jan-2017 18:55:13 GMT; path=/; domain=.google.fr
< Set-Cookie: NID=67=Hej1U9VK-yfKE1EaxGUDxH1eepjJU-N7MQgUmFP7I49-2A9Ux93YY2eoF0NT0XwbXoiDZQdxFckjtsompt4OzDF_X6frVlvcIZOKQAncOyWR6Lhs60SPvZxYcJBUGscE; expires=Sat, 18-Jul-2015 18:55:13 GMT; path=/; domain=.google.fr; HttpOnly
Set-Cookie: NID=67=Hej1U9VK-yfKE1EaxGUDxH1eepjJU-N7MQgUmFP7I49-2A9Ux93YY2eoF0NT0XwbXoiDZQdxFckjtsompt4OzDF_X6frVlvcIZOKQAncOyWR6Lhs60SPvZxYcJBUGscE; expires=Sat, 18-Jul-2015 18:55:13 GMT; path=/; domain=.google.fr; HttpOnly
< P3P: CP="This is not a P3P policy! See http://www.google.com/support/accoun...&answer=151657 for more info."
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accoun...&answer=151657 for more info."
< Server: gws
Server: gws
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
X-Frame-Options: SAMEORIGIN
< Alternate-Protocol: 443:quic,p=0.02
Alternate-Protocol: 443:quic,p=0.02
< Transfer-Encoding: chunked
Transfer-Encoding: chunked
< Accept-Ranges: none
Accept-Ranges: none
< Vary: Accept-Encoding
Vary: Accept-Encoding

<
* Connection #0 to host www.google.fr left intact
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):
Encore une fois:
Le paramètre de capath => /etc/ssl/certs est valable pour moi, frenchie doit trouver l'endroit exact sur son serveur.
frenchie
16/01/2015, 19h43
http://virtualmin.com/node/35861

A priori ce serait bien un bug dans une release. Je vais manger un bout et me remet dessus.
frenchie
16/01/2015, 19h37
Merci les gars

J'ai essayé :

Code:
[root@ns50xxxx ~]# curl -I -v https://google.com
* About to connect() to google.com port 443 (#0)
*   Trying 2607:f8b0:4006:807::1005... connected
* Connected to google.com (2607:f8b0:4006:807::1005) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unable to initialize NSS database
* Initializing NSS with certpath: none
* Unable to initialize NSS
* NSS error -8023
* Closing connection #0
* Problem with the SSL CA cert (path? access rights?)
curl: (77) Problem with the SSL CA cert (path? access rights?)
[root@ns50xxxx ~]# Write failed: Broken pipe
Si j'avais su ces bugs de R3, effectivement j'aurais opté pour une autre solution moins galère.
janus57
16/01/2015, 19h28
Bonjour,

@nowwhat visiblement la R3 est pas d’accord avec toi :
Code:
[root@ns50xxxx ~]# curl-config --configure
-bash: curl-config: command not found
Donc perso R3 je touche pas trop, et vu les problèmes/bugs qu'elle à autant la déconseiller.

Rien ne remplacera une distribution "nue" avec par dessus un bon panel open-source qui ne touche pas trop à la config du serveur.
CentOS + Webmin ou Virtualmin => oui
CentOS + Webmin + modification obscure de la part de OVH => non

Car il me semble pas que OVH à rendu le code ainsi que les modifs de la R3 publique.

Après une R3 c'est mieux que plesk (rien que pour le prix de la licence).

Cordialement, janus57
nowwhat
16/01/2015, 19h21
Pour revenir au sujet : ce plugin "Wordfence": il est vraiment important ?
Je présume que oui, donc, hélas, il faut savoir ce que c'est 'curl' (le plugin l'utilise).
De plus, ce 'curl', pour tester des liaisons 'https', il va utiliser une connexion 'SSL'. La contre-partie va lui offrir un 'certificat' et Curl ne va pas bêtement accepter ce certificat, il va chercher dans "la liste" s'il peut faire confiance à cet émetteur.
Et c'est là, le soucis, curl ne sais pas où on trouve ce répertoire (car curl parle bien d'un 'path') .....

La proposition de janus57 me semble pertinent:
curl-config --configure
'--build' 'x86_64-linux-gnu' '--prefix=/usr' '--mandir=/usr/share/man' '--libdir=/usr/lib/x86_64-linux-gnu' '--disable-dependency-tracking' '--enable-ipv6' '--with-lber-lib=lber' '--disable-symbol-hiding' '--enable-versioned-symbols' '--enable-manual' '--enable-debug' '--disable-curldebug' 'CFLAGS=-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2' 'LDFLAGS=-Wl,-z,relro -Wl,--as-needed' '--with-gssapi=/usr' '--with-ca-bundle=/etc/ssl/certs/ca-certificates.crt' '--without-ssl' '--with-gnutls' 'build_alias=x86_64-linux-gnu'
(Mon OS est un Debian)

La solution: va voir le script PHP de "Wordfence" - il y a une partie ou curl (version PHP) est préparé et paramétré.
Ajoute le chemin vers tes certificats.
Où c'est sur un R3, j'en ai aucun idée. Quoi que, exécute ceci
locate ca-certificates.crt
BBR
16/01/2015, 18h38
elle a surement le même comportement je n'ai rien installé dessus, donc suffit d'installer le paquet en question et voir ce qui se passe

edit : j'avais oublié que je l'avais reformaté hier en Debian lol
janus57
16/01/2015, 18h01
Citation Envoyé par frenchie
Honnêtement, je croyais que la R3 était juste une interface admin pour le server, qui restait du coup relativement standard. Je suis dans la mouise
Bonjour,

non non, tu veux juste une interface admin qui ne "parasite" pas le serveur : Virtualmin le tout couplé avec Debian (ou CentOS) et voilà.

Sinon @frenchie tu as une licence sur WorldFence ou c'est la version gratuit ?

@BBR hum bah déjà faudra savoir si ta R3 de test est aussi touché par ce problème, car si elle n'est ps touché bah chaud pour reproduire et/ou trouver la correction :/

Cordialement, janus57
BBR
16/01/2015, 17h30
Citation Envoyé par frenchie
Honnêtement, je croyais que la R3 était juste une interface admin pour le server, qui restait du coup relativement standard. Je suis dans la mouise
justement non...
frenchie
16/01/2015, 17h24
Citation Envoyé par janus57
Bonjour,

vous devriez essayé la mailing-list de la R3, y a le lien sur le site/forum OVH de mémoire.

Car la R3 est quand même relativement spécifique à OVH, donc vous trouverez très peu de choses sur internet qui risque de fonctionner à 100%, pire vous pouvez même éventuellement casser votre R3 (même si cela est moins vrai qu'elle st plus "ouverte" que la R2).

Cordialement, janus57
Honnêtement, je croyais que la R3 était juste une interface admin pour le server, qui restait du coup relativement standard. Je suis dans la mouise
BBR
16/01/2015, 17h21
et si tu as fait des ajouts/mises à jour manuels de paquets pas prévus dans la R3, tu risques bien d'avoir de gros soucis.
Janus si tu veux tester sur mon ks en R3, je t'envoie les accès, il ne craint rien.
janus57
16/01/2015, 16h57
Citation Envoyé par frenchie
Merci en tout cas, je vais continuer a chercher.
Bonjour,

vous devriez essayé la mailing-list de la R3, y a le lien sur le site/forum OVH de mémoire.

Car la R3 est quand même relativement spécifique à OVH, donc vous trouverez très peu de choses sur internet qui risque de fonctionner à 100%, pire vous pouvez même éventuellement casser votre R3 (même si cela est moins vrai qu'elle st plus "ouverte" que la R2).

Cordialement, janus57
frenchie
16/01/2015, 16h53
Citation Envoyé par janus57
Bonjour,

du coup vu que je connais pas la R3 on va éviter de faire les même manipulation que trouvé sur google car je ne sais pas comment OVH a modifié tout ça...

En tout cas cela peu soit venir d'une MAJ (j'avais vu une MAJ de curl passé y a quelques semaines/mois sur Debian), soit je sais pas (les Mystère de la R3 quoi).

Cordialement, janus57
Merci en tout cas, je vais continuer a chercher.
janus57
16/01/2015, 16h49
Bonjour,

du coup vu que je connais pas la R3 on va éviter de faire les même manipulation que trouvé sur google car je ne sais pas comment OVH a modifié tout ça...

En tout cas cela peu soit venir d'une MAJ (j'avais vu une MAJ de curl passé y a quelques semaines/mois sur Debian), soit je sais pas (les Mystère de la R3 quoi).

Cordialement, janus57
frenchie
16/01/2015, 16h45
J'ai désactivé les MAJ auto (pour le futur);

j'ai redémarré httpd (depuis l'interface et depuis de terminal)
j'avais djà fait un hard reboot il y à une heure, toujours pareil
janus57
16/01/2015, 16h39
Citation Envoyé par frenchie
Code:
[root@ns50xxxx ~]# curl-config --configure
-bash: curl-config: command not found
Oui il s'auto patch. Comment checker les dernieres MAJ ?
Bonjour,

aucune idée pour les dernière MAJs, mais perso je dé-conseil les options qui installe tout seule les MAJs, c'est toujours mieux de les confirmer pour être sur de ce qui se met à jour.

Sinon est-ce que dans le panel de la R3 vous avez un bouton pour restart apache en entier ?
Sinon en ligne de commande sous CentO c'est soit
Code:
apachectl restart
soit
Code:
service httpd restart
Cordialement, janus57
frenchie
16/01/2015, 16h35
Code:
[root@ns50xxxx ~]# curl-config --configure
-bash: curl-config: command not found
Oui il s'auto patch. Comment checker les dernieres MAJ ?
janus57
16/01/2015, 16h31
Bonjour,

à priori de ce côté c'est bon, que renvoie cette commande :
Code:
curl-config --configure
EDIT :
info complémentaire, la R3 s'auto-patch toute seule ?
De quand date les dernières MAJs ?

Cordialement, janus57
frenchie
16/01/2015, 16h15
Merci de l'aide
Voila mes résultats :


Code:
[root@ns50xxxx ~]# ls -alh /etc/pki/tls/certs/ca-bundle.crt
-rw-r--r-- 1 root root 769K Jul 14  2014 /etc/pki/tls/certs/ca-bundle.crt
[root@ns50xxxx ~]# ls -alh /etc/pki/tls/certs/ca-bundle.trust.crt
-rw-r--r-- 1 root root 982K Jul 14  2014 /etc/pki/tls/certs/ca-bundle.trust.crt
janus57
16/01/2015, 16h11
Bonjour,

d'après google va falloir mettre les mains dans le SSH et vérifer si certains fichiers sont présent.

Normalement ces commandes devrait fonctionner :
Code:
ls -alh /etc/pki/tls/certs/ca-bundle.crt
ls -alh /etc/pki/tls/certs/ca-bundle.trust.crt
Ensuite faudrait juste nous donner le résultat.

Cordialement, janus57
frenchie
16/01/2015, 15h58
Citation Envoyé par janus57
Bonjour,

c'est une R3 ?
Vous avez re-vérifer qu'elle est à jour ?

Cordialement, janus57
C'est une R3, elle est bien à jour.

Cdlt
janus57
16/01/2015, 15h56
Bonjour,

c'est une R3 ?
Vous avez re-vérifer qu'elle est à jour ?

Cordialement, janus57
frenchie
16/01/2015, 15h49
Je viens de verifier, effectivement c'est un KS-3. Mes excuses !
BBR
16/01/2015, 15h48
surement pas un ks2 avec cette mémoire :
Mémoire réelle 7.69 GB
frenchie
16/01/2015, 15h43
Code:
Système d'exploitation	CentOS Linux 6.6
Version de Webmin	1.680
Date et heure du système	Fri Jan 16 09:42:28 2015	
Noyau et CPU	Linux 3.10.23-xxxx-std-ipv6-64 sur x86_64
Information sur le CPU	Intel(R) Core(TM) i3-2130 CPU @ 3.40GHz, 4 cores
Mémoire réelle	7.69 GB total, 1.09 GB utilisé
Mises à jours de Paquet	All installed packages are up to date
C'est un KS-2 Il me semble.

Merci d'avance janus
janus57
16/01/2015, 15h41
Bonjour,

pour de l'aide va falloir détailler un peu la config de votre serveur, et surtout savoir si il est à jour ou non.

Cordialement, janus57
frenchie
16/01/2015, 15h29
SOLUTION EN PAGE 3
Bonjour,


Avant tout, permettez moi de vous dire que je ne suis pas admin serveur/réseau et que j'essaye la plupart du temps de gerer les problèmes de mon serveur en m'aidant de google. Mais le je sèche.

Premiers symptômes hier ou avant hier, sur mes installations Wordpress qui jusqu'a maintenant tournaient tranquillement, les plug-ins Google Analytics(GA) & Wordfence ne fonctionnent plus.

Pour GA, je ne me faisait pas de soucis, étant donné les mises à jour de Wordpress, je me suis dis que c'était un problème de compatibilité.


Mais en allant faire un tour sur des blogs non updaté, meme problème. Impossible de débuger avec les outils Wordpress, mais le plugin Wordfence m'offre un test de connectivité vers leur serveur qui m'affiche :

Code:
DNS lookup for noc1.wordfence.com returns: 69.46.36.8


STARTING CURL http CONNECTION TEST....
Curl connectivity test passed.


STARTING CURL https CONNECTION TEST....
Curl connectivity test failed with response:

Curl HTTP status: 0
Curl error code: 77
Curl Error: Problem with the SSL CA cert (path? access rights?)


Starting wp_remote_post() test
wp_remote_post() test to noc1.wordfence.com passed!

Starting wp_remote_post() test
wp_remote_post() test to noc1.wordfence.com failed! Response was: Problem with the SSL CA cert (path? access rights?)
Voila, ca me laisse perplexe puisque je n'ai aucune idée de ce que peux bien vouloir dire ceci.
Y-a-t-il eu des changements sur les serveurs Kimsufi récemment ?

Merci d'avance.

Config KS-3

Code:
Système d'exploitation	CentOS Linux 6.6
Version de Webmin	1.680
Date et heure du système	Fri Jan 16 09:42:28 2015	
Noyau et CPU	Linux 3.10.23-xxxx-std-ipv6-64 sur x86_64
Information sur le CPU	Intel(R) Core(TM) i3-2130 CPU @ 3.40GHz, 4 cores
Mémoire réelle	7.69 GB total, 1.09 GB utilisé
Mises à jours de Paquet	All installed packages are up to date