Seite 1 von 1
[GELÖST] Problem mit HTTPS-Zertifikat
Veröffentlicht: 27. Oktober 2022 – 16:46 Uhr
von Stenon
Guten Morgen,
Wenn ich den Server mit einem externen Zertifikat in nginx konfiguriere und ihn neu lade (reload nginx), wird die Webseite korrekt als HTTPS angezeigt
Ich war also glücklich.
Beim Versuch, mit waptdeploy.exe, dem Hash und dem waptagent zu deployen, erhalte ich nun eine Fehlermeldung… Es gibt einen Fehler beim Herunterladen des waptagent
Code: Alle auswählen
C:\Users\wapttestuser\Downloads>waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12463 --wait=15 --waptsetupurl=https://waptserver/wapt/waptagent.exe
{"hash":"02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a","minversion":"2.2.3.12463","wait":"15","waptsetupurl":"https://waptserver/wapt/waptagent.exe"}
WAPT version:
WAPT required version: 2.2.3.12463
Wapt agent path: C:\Users\samuel.adm\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://waptserver/wapt/waptagent.exe
Trying to reach https://waptserver/wapt/waptagent.exe...
Expecting hash sha256: 02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a
Using proxy :
Error trying to get https://waptserver/wapt/waptagent.exe : Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00403958:
Exception: Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']
$00403958
$00404D73
Wenn ich das selbstsignierte Zertifikat aus der Installation in nginx erneut eingebe, funktioniert es wieder, aber HTTPS ist nicht konform
PS: Ich habe versucht, mein waptagent-Paket mit einem neuen Hash neu zu erstellen... aber daran liegt es nicht... ich weiß, es liegt an meiner Konfiguration
und schließlich
https://waptserver/wapt/waptagent.exe ist ordnungsgemäß zugänglich
Dank im Voraus !
Samuel
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 31. Oktober 2022 - 11:57 Uhr
von Sfonteneau
Tritt das Problem nur bei waptdeploy auf?
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 2. November 2022 - 9:50 Uhr
von Stenon
Offenbar ja...
Ich hatte die Gruppenrichtlinie eingerichtet und auf einem Testrechner getestet, und sie funktionierte. Nach der Installation des (für unseren Standort gültigen) Zertifikats funktionierte die Gruppenrichtlinie jedoch nicht mehr. Daher versuchte ich, den Befehl manuell auszuführen, wobei die im vorherigen Beitrag erwähnten Fehler auftraten. Durch die Verwendung des alten (selbstsignierten) Zertifikats wird der Befehl korrekt ausgeführt, und der Agent wird auf dem Testrechner bereitgestellt.
Habe ich beim Installieren/Kopieren meines Zertifikats auf den Debian-Server einen Schritt übersehen?
Weitere Details: /etc/nginx/site-enabled/wapt.conf
Code: Alle auswählen
server {
listen 80;
listen [::]:80;
server_name _;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name _;
#server_name wapt.site.fr;
# BACKUP certificat installation WAPT => autosigné
#ssl_certificate "/opt/wapt/waptserver/ssl/cert.pem";
#ssl_certificate_key "/opt/wapt/waptserver/ssl/key.pem";
# Certificat site.fr => pour notre site ici
ssl_certificate "/opt/wapt/waptserver/ssl/cert+CA-site.fr.pem";
ssl_certificate_key "/opt/wapt/waptserver/ssl/wildcard-site.fr.pem";
ssl_protocols TLSv1.2;
ssl_dhparam "/etc/ssl/certs/dhparam.pem";
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_stapling on;
ssl_stapling_verify on;
ssl_session_cache none;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
#ssl_client_certificate "/opt/wapt/conf/ca-wapt.site.fr.crt";
#ssl_crl "None";
#ssl_verify_client optional;
gzip_min_length 1000;
gzip_buffers 4 8k;
gzip_http_version 1.0;
gzip_disable "msie6";
gzip_types text/plain text/css application/json;
gzip_vary on;
index index.html;
client_max_body_size 12288m;
client_body_timeout 1800;
# sub instances
include /opt/wapt/conf/wapt.d/*.conf;
location /static {
alias "/opt/wapt/waptserver/static";
}
location /ssl {
alias "/var/www/ssl";
}
# not protected URL
location ~ ^/(wapt/waptsetup.*.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json|rules.json|licences.json)$ {
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
root "/var/www";
}
# not protected URL
location /wads {
alias "/var/www/wads";
}
# SSL protected URL
location ~ ^/(wapt/.*|waptwua/.*|wapt-diff-repos/.*)$ {
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
# be sure these headers are not forwarded
proxy_set_header X-Ssl-Client-Dn "";
proxy_set_header X-Ssl-Authenticated "";
root "/var/www";
}
# we don't want to expose our list of computers in case someone scan this folder.
location /wapt-host/Packages {
return 403;
}
location ~ ^/(wapt-host/.*)$ {
log_not_found off;
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
proxy_set_header X-Ssl-Client-Dn "";
proxy_set_header X-Ssl-Authenticated "";
root "/var/www";
}
location ~ ^/.*_kerberos$ {
return 403;
}
location / {
add_header X-Remote-IP $remote_addr;
proxy_http_version 1.1;
proxy_request_buffering off;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
location /socket.io {
proxy_http_version 1.1;
proxy_request_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_pass http://127.0.0.1:8080/socket.io;
}
}
VIELEN DANK!
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 3. November 2022 - 16:28 Uhr
von Stenon
Wir machen ein kleines Stückchen Fortschritte...
Wenn ich meinen waptdeploy-Aufruf wie folgt ändere:
Code: Alle auswählen
waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://wapt.monsite.fr/wapt/waptagent.exe
Ich habe den vorherigen Fehler (
TLS fehlgeschlagen)
wenn ich es in seins ändere
IP-Adresse das funktioniert:
Code: Alle auswählen
waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://[b]192.168.x.x[/b]/wapt/waptagent.exe
Die DNS-Einstellungen auf dem Client-Rechner sind jedoch in Ordnung... ping -a 192.168.xx und ping wapt.monsite.fr
Irgendwelche Ideen?
Vielen Dank
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 8. November 2022 – 16:20 Uhr
von dcardon
Hallo Stenon,
das häufigste Problem ist, dass die Zertifikatskette in der Datei /opt/wapt/waptserver/ssl/cert+CA-site.fr.pem unvollständig ist. Bitte überprüfen Sie, ob Sie die Zwischenzertifikate besitzen.
Viele Grüße,
Denis
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 10. November 2022 - 09:59 Uhr
von Stenon
Hallo,
ja, es scheint, als fehle der FQDN in meinem Zertifikat, da ich ein Wildcard-Zertifikat verwende. Ich habe den Beitrag vom 27. Januar 2022 gelesen, und es handelt sich um denselben Fehler.
Da ich mein Wildcard-Zertifikat verwenden muss, stelle ich den Agenten über die IP-Adresse in meiner Gruppenrichtlinie bereit … und es funktioniert einwandfrei.
Vielen Dank für Ihre Hilfe
Mit freundlichen Grüßen,
Samuel
Betreff: Zertifikatsproblem für HTTPS
Veröffentlicht: 10. November 2022 - 10:11 Uhr
von dcardon
Hallo Samuel,
vielen Dank für dein Feedback. Ich habe ein internes Ticket zu diesem Problem erstellt. Ich markiere das Thema vorerst als gelöst.
Viele Grüße,
Denis