Gitlab avec une autorité de certificat locale

Introduction

L’environnement utilise des certificats émis par une autorité de certificat qui a été déployé avec openssl directement. Pour que les machines puissent utiliser celui-ci, il faut faire quelques étapes.

L’erreur obtenue avec curl

[root@staging ~]# curl https://git.webux.lab
curl: (60) Peer's Certificate issuer is not recognized.

Puis avec git

[root@staging ~]# git clone https://git.webux.lab/tgingras/repo.git
Cloning into 'repo'...
fatal: unable to access 'https://git.webux.lab/tgingras/repo.git/': Peer's Certificate issuer is not recognized

Solution

Il suffit d’installer le certificat racine (Root Certificate) sur la machine.

Le certificat est disponible sur un serveur web dans mon environnement

Pour CentOS

wget http://www.{{ search_domain }}/tools/certificates/{{ ca_certificate_name }}.pem -O /etc/pki/ca-trust/source/anchors/{{ ca_certificate_name }}.pem
update-ca-trust

1. Télécharger le fichier .pem dans le répertoire /etc/pki/ca-trust/source/anchors/
2. Lancer le script pour mettre à jour les certificats

Pour Ubuntu

mkdir /usr/share/ca-certificates/studiowebux
wget http://www.webux.lab/tools/certificates/studiowebux_CA.pem -O /usr/share/ca-certificates/studiowebux/studiowebux_CA.pem
openssl x509 -in /usr/share/ca-certificates/studiowebux/studiowebux_CA.pem -inform PEM -out /usr/share/ca-certificates/studiowebux/studiowebux_CA.crt
update-ca-certificates

1. Créer le répertoire pour la compagnie
2. Télécharger le fichier .pem dans le répertoire /usr/share/ca-certificates/studiowebux/
3. Convertir le fichier .pem à .crt avec openssl
4. Lancer le script pour mettre à jour les certificats