acceptation permanente d'un certificat https auto signé pour un compte utilisateur système

Le
Matthieu
Bonjour à tous,

voila je rencontre un petit soucis avec le compte qui fait tourner mon
serveur Apache.
A l'aide d'un script j'appelle un binaire qui va interroger un serveur
https qui présente un certificat auto signé.
L'authentification est bonne, mais mon script plante car j'ai toujours
le message de confirmation me demandant d'accepter temporairement ou de
façon permanente, ou de rejeter le certificat.

J'ai beau me mettre sous le compte Apache et mettre de façon permanente,
le message de confirmation revient toujours la fois suivante.

Est ce que vous auriez un moyen de me faire accepter le certificat une
bonne fois pour toute pour l'utilisateur système faisant tourner le
serveur Apache?
Cordialement,

Matthieu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Raphael Hertzog
Le #16698781
On Sun, 31 Aug 2008, Matthieu wrote:
Bonjour à tous,

voila je rencontre un petit soucis avec le compte qui fait tourner mon
serveur Apache.
A l'aide d'un script j'appelle un binaire qui va interroger un serveur
https qui présente un certificat auto signé.
L'authentification est bonne, mais mon script plante car j'ai toujours
le message de confirmation me demandant d'accepter temporairement ou de
façon permanente, ou de rejeter le certificat.

J'ai beau me mettre sous le compte Apache et mettre de façon permanente,
le message de confirmation revient toujours la fois suivante.

Est ce que vous auriez un moyen de me faire accepter le certificat une
bonne fois pour toute pour l'utilisateur système faisant tourner le
serveur Apache?



Si vous ne dites pas de quel "binaire" il s'agit, personne ne pourra vous
aider. Est-ce wget ? Si oui l'option --no-check-certificate peut aider...


En outre le répertoire personnel de l'utilisateur www-data qui fait
tourner le serveur web est /var/www et l'utilisateur www-data n'a pas le
droit d'y écrire. Donc aucun logiciel ne peut y stocker ses "préférences"
(comme une liste de sites pour lesquels il n'est pas nécessaire de
vérifier le certificat).

Vous pouvez éventuellement changer les droits de manière temporaire, le
temps d'effectuer l'opération manuellement et d'accepter le certficat de
manière permanente, puis remettre les droits restrictifs standards.

Cordialement,
--
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Matthieu
Le #16702381
Bonjour,

le binaire est le client subversion.
Effectivement, je n'avais pas pensé à cette solution, merci.
J'ajouterais que meme si le certificat a été validé, il faut aussi un
profil .subversion pour le compte www-data. j'ai donc mis tout en
lecture seule.
Pour le profil .subversion, je vois bien le risque, Mais quel risque y a
t-il de laisser un profil .ssh en lecture seule pour le compte www-data?
Merci beaucoup pour votre retour
Cordialement,

Matthieu

Raphael Hertzog a écrit :
On Sun, 31 Aug 2008, Matthieu wrote:

Bonjour à tous,

voila je rencontre un petit soucis avec le compte qui fait tourner mon
serveur Apache.
A l'aide d'un script j'appelle un binaire qui va interroger un serveur
https qui présente un certificat auto signé.
L'authentification est bonne, mais mon script plante car j'ai toujours
le message de confirmation me demandant d'accepter temporairement ou de
façon permanente, ou de rejeter le certificat.

J'ai beau me mettre sous le compte Apache et mettre de façon permanente,
le message de confirmation revient toujours la fois suivante.

Est ce que vous auriez un moyen de me faire accepter le certificat une
bonne fois pour toute pour l'utilisateur système faisant tourner le
serveur Apache?




Si vous ne dites pas de quel "binaire" il s'agit, personne ne pourra vous
aider. Est-ce wget ? Si oui l'option --no-check-certificate peut aider...


En outre le répertoire personnel de l'utilisateur www-data qui fait
tourner le serveur web est /var/www et l'utilisateur www-data n'a pas le
droit d'y écrire. Donc aucun logiciel ne peut y stocker ses "préférences"
(comme une liste de sites pour lesquels il n'est pas nécessaire de
vérifier le certificat).

Vous pouvez éventuellement changer les droits de manière temporaire, le
temps d'effectuer l'opération manuellement et d'accepter le certficat de
manière permanente, puis remettre les droits restrictifs standards.

Cordialement,




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Raphael Hertzog
Le #16705301
On Tue, 02 Sep 2008, Matthieu wrote:
Bonjour,

le binaire est le client subversion.
Effectivement, je n'avais pas pensé à cette solution, merci.
J'ajouterais que meme si le certificat a été validé, il faut aussi un
profil .subversion pour le compte www-data. j'ai donc mis tout en
lecture seule.
Pour le profil .subversion, je vois bien le risque, Mais quel risque y a
t-il de laisser un profil .ssh en lecture seule pour le compte www-data?



Je ne vois pas le rapport, où est-ce que le ".ssh" entre en jeu ? Il n'en
a jamais été question dans ce que j'ai lu jusqu'ici.

A+
--
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme