<div dir="ltr">Thanks for the update, Stuart!<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 20, 2017 at 8:38 PM,  <span dir="ltr"><<a href="mailto:raeburn@msu.edu" target="_blank">raeburn@msu.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bob,<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I don't think that I want to have my own custom version of <a href="http://lonnet.pm" rel="noreferrer" target="_blank">lonnet.pm</a>.  It's<br>
too hard to keep track of those kinds of changes in the future.  Will this<br>
issue go away when I upgrade to the 2.11.2 version of lon-capa?<br>
<br>
</blockquote>
<br></span>
LON-CAPA 2.11.2, which I expect to release in a couple of weeks, will *not* implement a workaround for use with CentOS/Scientific Linux/Red Hat 7 (and Ubuntu 12, 14 and 16 LTS) for replication of LON-CAPA resources from a library server with an Apache/SSL certificate with an unverifiable hostname.<br>
<br>
This issue will however disappear in LON-CAPA 2.12.0, which I expect to release around the time of the 2017 LON-CAPA conference.<br>
<br>
In 2.12.0 a new module: LWPReq.pm is used as a wrapper for calls to the LWP perl library<br>
(see: <a href="http://source.loncapa.org/cgi-bin/cvsweb.cgi/loncom/LWPReq.pm" rel="noreferrer" target="_blank">http://source.loncapa.org/cgi-<wbr>bin/cvsweb.cgi/loncom/LWPReq.p<wbr>m</a>)<br>
<br>
When LWPReq.pm is used to replicate content from other LON-CAPA library servers, verify_hostname will be disabled.<br>
<br>
LWPReq.pm supports older versions of perl-libwww-perl, (i.e., pre-version 6) in which hostname verification is never used, as well as version 6, where it is used (by default).<span class=""><br>
<br>
<br>
Stuart Raeburn<br>
LON-CAPA Academic Consortium<br>
<br>
<br></span><div><div class="h5">
Quoting Bob Gonzales <<a href="mailto:rgonzal@binghamton.edu" target="_blank">rgonzal@binghamton.edu</a>>:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thanks Stuart.  I see those errors when I run the openssl command against<br>
the uiuc library server too.  I get a clean run against the msu library<br>
server.<br>
<br>
I don't think that I want to have my own custom version of <a href="http://lonnet.pm" rel="noreferrer" target="_blank">lonnet.pm</a>.  It's<br>
too hard to keep track of those kinds of changes in the future.  Will this<br>
issue go away when I upgrade to the 2.11.2 version of lon-capa?<br>
<br>
Thanks,<br>
Bob Gonzales<br>
<br>
On Thu, Feb 2, 2017 at 9:48 AM, <<a href="mailto:raeburn@msu.edu" target="_blank">raeburn@msu.edu</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Bob,<br>
<br>
The problem here appears to be the SSL certificate installed on the UIUC<br>
library server.  If I run the command:<br>
<br>
openssl s_client  -connect <a href="http://library1.lon-capa.uiuc.edu:443" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu:443</a><br>
<br>
The response includes:<br>
<br>
verify error:num=20:unable to get local issuer certificate<br>
verify error:num=27:certificate not trusted<br>
verify error:num=21:unable to verify the first certificate<br>
<br>
Because of this certificate problem you will be unable to view previously<br>
unreplicated resources in the uiuc domain on a LON-CAPA server running a<br>
Linux distro/version which includes perl-libwww-perl version 6.<br>
<br>
That includes the binghamton LON-CAPA servers, but not the MSU LON-CAPA<br>
servers.<br>
<br>
On a server with perl-libwww-perl version 6, you could implement a<br>
temporary workaround by modifying the repcopy() routine in<br>
/home/httpd/lib/perl/Apache/<a href="http://lonnet.pm" rel="noreferrer" target="_blank">lo<wbr>nnet.pm</a> to include this line:<br>
<br>
$ua->ssl_opts( verify_hostname => 0 );<br>
<br>
and then reload Apache.<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is is somehow related to the ssl request on port 443?  I am not running<br>
ssl<br>
in the binghamton domain.  However, I can see resources on other domains<br>
(e.g. msu) that are running ssl.<br>
<br>
<br>
</blockquote>
Yes, it is related to the fact that the uiuc LON-CAPA library server is<br>
using https.<br>
<br>
Other LON-CAPA servers also use https (including <a href="http://educog.com" rel="noreferrer" target="_blank">educog.com</a> and<br>
<a href="http://s10.lite.msu.edu" rel="noreferrer" target="_blank">s10.lite.msu.edu</a>), and for those servers the openssl s_client command<br>
above does not report any errors, so this issue looks to be specific to the<br>
certificate on the uiuc LON-CAPA library server.<br>
<br>
The fact that you do not use Apache/SSL for the binghamton LON-CAPA domain<br>
servers is not relevant here.  Although I would encourage you in the longer<br>
term to consider using Apache/SSL in the binghamton domain for security<br>
reasons.<br>
<br>
<a href="http://letsencrypt.org" rel="noreferrer" target="_blank">letsencrypt.org</a> has an automated process for obtaining SSL certificates<br>
to use with the Apache web server, at no cost.<br>
<br>
<br>
Stuart Raeburn<br>
LON-CAPA Academic Consortium<br>
<br>
<br>
<br>
Hi All,<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I've got a situation where none of my servers can view the actual<br>
resources<br>
from the uiuc domain.  They can all browse to any subdirectory and can<br>
look<br>
at the metadata for any resource.  But they can't see the contents of a<br>
resource file.  The window that shows the rendered resource does open but<br>
just has the one line "Unable to find SomeFileName.problem"  for problems<br>
and "Sorry! Resource not available." for images in it.<br>
<br>
For each resource that can't be viewed there is a line in lonnet.log like<br>
this:<br>
<br>
LWP get: 500 Can't connect to <a href="http://library1.lon-capa.uiuc.edu:443" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu:443</a><wbr>:<br>
/home/httpd/html/res/uiuc/cyer<wbr>kes/Chem_102_/problems/Homewor<br>
k_4_QDB_8051158<br>
/LandingFieldArrival.jpg<br>
<br>
I had the network IT guy for the university look at the edge firewall logs<br>
and he could see my requests going out but he didn't see any answers<br>
coming<br>
back from the uiuc server.  He wasn't 100% sure that he logs everything<br>
coming in though so it's not definitive that they aren't coming back.<br>
Though the message above would lead one to think that uiuc is not replying<br>
or not getting my request.<br>
<br>
I can browse to and see resources in other domains.  I also logged into my<br>
course using a msu access server and was successful viewing uiuc<br>
resources.<br>
<br>
Entries in lonc.log and lond.log show that connections are being made and<br>
the fact that I can browse the subdirectorys says some things are OK.<br>
<br>
Is is somehow related to the ssl request on port 443?  I am not running<br>
ssl<br>
in the binghamton domain.  However, I can see resources on other domains<br>
(e.g. msu) that are running ssl.<br>
<br>
Using nmap against <a href="http://library1.lon-capa.uiuc.edu" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu</a> shows port 443 open.<br>
<br>
Thanks,<br>
Bob Gonzales<br>
Binghamton University<br>
<br>
</blockquote>
<br>
<br>
</blockquote>
<br>
</blockquote>
<br>
<br>
<br>
<br></div></div>
______________________________<wbr>_________________<br>
LON-CAPA-admin mailing list<br>
<a href="mailto:LON-CAPA-admin@mail.lon-capa.org" target="_blank">LON-CAPA-admin@mail.lon-capa.o<wbr>rg</a><br>
<a href="http://mail.lon-capa.org/mailman/listinfo/lon-capa-admin" rel="noreferrer" target="_blank">http://mail.lon-capa.org/mailm<wbr>an/listinfo/lon-capa-admin</a><br>
</blockquote></div><br></div>