[GELÖST] WAPT 2.5.5.15691: TLS-Fehler mit waptdeploy.exe

Fragen zum WAPT-Server / Anfragen und Hilfe im Zusammenhang mit dem WAPT-Server
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Antwort
TomTomGo
Nachrichten: 25
Anmeldung: 3. Mai 2017 - 15:36 Uhr
Ort: La Chapelle-sur-Erdre

25. Juli 2024 – 14:36 ​​Uhr

Guten Morgen,

WAPT-Server: Aktuelles Debian 11
Client-Workstation: Windows 11 23H2
WAPT 2.5.5.15691 Discovery

Nach dem Upgrade meines WAPT-Servers von Version 2.5.5.15640 auf 2.5.5.15691 heute Morgen erhalte ich eine Fehlermeldung, wenn ich versuche, den WAPT-Agenten auf den Workstations mit waptdeploy.exe zu aktualisieren:

Code: Alle auswählen

waptdeploy.exe --waptsetupurl=https://srvwapt.mydomain/wapt/waptagent.exe --hash=942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b --minversion=2.5.5.15691 --tasks=autorunTray,installService,installredist2008,!autoUpgradePolicy --wait=15
{"waptsetupurl":"https://srvwapt.mydomain/wapt/waptagent.exe","hash":"942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b","minversion":"2.5.5.15691","tasks":"autorunTray,installService,installredist2008,!autoUpgradePolicy","wait":"15"}
WAPT version: 2.5.5.15640
WAPT required version: 2.5.5.15691
Wapt agent path: C:\Users\toto\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://srvwapt.mydomain/wapt/waptagent.exe
Trying to reach https://srvwapt.mydomain/wapt/waptagent.exe...
Expecting hash sha256: 942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b
Using proxy :
Error trying to get https://srvwapt.mydomain/wapt/waptagent.exe : Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00323D02:
Exception: Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]
  $00323D02
  $00325402
Ich habe die Nginx-SSL-Zertifikate unter /opt/wapt/waptserver/ssl/ mithilfe des Skripts postconf.sh gelöscht und neu generiert. => GLEICH
Ich habe auch versucht, den FQDN des Wapt-Servers durch die IP-Adresse zu ersetzen => GLEICHES ERGEBNIS (siehe viewtopic.php?p=11185&hilit=%5BENetSock ... led#p11185)
Ich habe die Neuinstallation der Pakete tis-waptserver und tis-waptsetup erzwungen und postconf neu gestartet => GLEICHES ERGEBNIS
Mir gehen die Ideen aus, ist jemand anderes schon einmal auf dieses Problem gestoßen?

Vielen Dank im Voraus und einen schönen Tag
Zuletzt bearbeitet von TomTomGo am 29. Juli 2024 um 15:41 Uhr, 1 Mal bearbeitet.
Hoch
TomTomGo
Nachrichten: 25
Anmeldung: 3. Mai 2017 - 15:36 Uhr
Ort: La Chapelle-sur-Erdre

25. Juli 2024 – 15:24 Uhr

Nach Durchsicht des Änderungsprotokolls für Version 2.5.5.15691 fand ich Folgendes:

[WICHTIG] waptserver: Unter Linux: TLS 1.3 für nginx unter Linux verwenden

Daher habe ich in /etc/nginx/sites-enabled/wapt.conf wieder auf TLS 1.2 umgestellt:

Code: Alle auswählen

ssl_protocols               TLSv1.2;
Nach einem Neustart der Nginx-Dienste funktioniert es wieder :)
Hoch
Benutzeravatar
dcardon
WAPT-Experte
Nachrichten: 1953
Anmeldung: 18. Juni 2014 - 09:58 Uhr
Ort: Saint Sébastien sur Loire
Kontakt:
Kontaktieren Sie dcardon

25. Juli 2024 – 17:15 Uhr

Hallo Thomas,

Windows 11 aktiviert TLS 1.3 anscheinend nicht standardmäßig (dafür müssen Registry-Schlüssel angepasst werden).

WAPTAgent verwendet OpenSSL für die gesamte Kryptografie, während WAPTDeploy aus Platzgründen auf die Windows-Implementierung von schannel zurückgreift, um die Einbindung von OpenSSL zu vermeiden (was die Größe von WAPTDeploy verdoppeln würde). Die Standardkonfiguration von schannel unter Windows 11 aktiviert TLS 1.3 nicht (hierfür muss ein Registry-Schlüssel bzw. eine Gruppenrichtlinie festgelegt werden). Hinweis: Edge verwendet TLS 1.3, da es auf der Chromium-TLS-Schicht und nicht auf der Windows-TLS-Schicht basiert. Daher ist diese Information etwas irreführend. Anmerkung 2: Um den ahnungslosen Systemadministrator weiter in die Irre zu führen: TLS 1.3 ist unter Windows 10 seit einigen Jahren aktiviert, obwohl Microsoft dies verneint, und unter Windows 11 ist es nicht aktiviert, obwohl Microsoft dies behauptet[1]...

Wir haben für den CSPN-Zertifizierungsprozess auf TLS 1.3 umgestellt, aber da TLS 1.2 von ANSSI weiterhin akzeptiert wird, werden wir das Evaluierungsziel entsprechend anpassen; das vereinfacht die Sache.

Vielen Dank für Ihren Hinweis.

Mit freundlichen Grüßen,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Hoch
TomTomGo
Nachrichten: 25
Anmeldung: 3. Mai 2017 - 15:36 Uhr
Ort: La Chapelle-sur-Erdre

25. Juli 2024 – 17:31 Uhr

dcardon schrieb: 25. Juli 2024 - 17:15 Uhr Hallo Thomas,

es scheint, dass Windows 11 TLS 1.3 nicht standardmäßig aktiviert (es müssen Registry-Schlüssel geändert werden).

WAPTAgent verwendet OpenSSL für die gesamte Kryptografie, während WAPTDeploy, um schlanker zu sein, auf die Windows-Schannel-Implementierung zurückgreift, um die Einbindung von OpenSSL zu vermeiden (was die Größe von WAPTDeploy verdoppeln würde...). Die Standard-Schannel-Konfiguration auf einem Windows-11-Rechner aktiviert TLS 1.3 nicht (es muss ein Registry-Schlüssel/eine Gruppenrichtlinie dafür festgelegt werden). Hinweis: Edge verwendet TLS 1.3, da es auf der Chromium-TLS-Schicht und nicht auf der Windows-TLS-Schicht basiert. Daher ist diese Aussage etwas irreführend. Anmerkung 2: Um den ahnungslosen Systemadministrator weiter in die Irre zu führen: TLS 1.3 ist unter Windows 10 seit einigen Jahren aktiviert, obwohl Microsoft dies verneint, und unter Windows 11 ist es nicht aktiviert, obwohl Microsoft dies behauptet[1]...

Wir haben für den CSPN-Zertifizierungsprozess auf TLS 1.3 umgestellt, aber da TLS 1.2 von ANSSI weiterhin akzeptiert wird, werden wir das Evaluierungsziel entsprechend anpassen; das vereinfacht die Sache.

Vielen Dank für Ihren Hinweis.

Mit freundlichen Grüßen,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Hallo Denis,

Danke für Ihr Feedback, Sie haben Recht, so etwas kann man sich nicht ausdenken, und es ist überraschend, dass Windows 11 TLS 1.3 nicht standardmäßig aktiviert, gut zu wissen...
Die unabhängige Verwaltung der TLS-Versionen durch die Browser trägt nicht gerade zur Lösung des Problems bei, aber ich habe endlich verstanden, dass genau das der Kern der Sache ist. Wenn ich es also richtig verstehe, bleiben Sie bei TLS 1.2, solange es noch von ANSSI validiert wird?

Vielen Dank und einen schönen Abend

Thomas
Hoch
Antwort

Zurück zum "WAPT-Server"


  • Um mit WAPT weiterzukommen