[GELÖST] SSLCertVerificationError nach Update von 2.5.5 auf 2.6.0

Fragen zum WAPT-Server / Anfragen und Hilfe im Zusammenhang mit dem WAPT-Server
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Gesperrt
cefinformatique
Nachrichten: 31
Anmeldung: 26. Mai 2023 - 14:25 Uhr

4. Dezember 2024 - 10:31 Uhr

WAPT-Server: 2.6.0.16552-49ddf2d3-amd64 (Debian 12)
WAPT-Konsole: 2.6.0.16552-49ddf2d3 (Debian 12)
WAPT-Agent: 2.6.0.16552 (Windows 11 23:2 Uhr)
Edition: Enterprise

Guten Morgen,

Ich habe meinen Server (und die Konsole) von Version 2.5.5 auf 2.6.0 aktualisiert, aber nach der Neuerstellung und Bereitstellung des Windows-Agenten zeigen alle meine Clients einen Zertifikatsverifizierungsfehler an:

Code: Alle auswählen

2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] ERROR Certificate check failed for https://wapt.mondomaine.fr/wapt/Packages and verify_cert True
2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:11,973 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt-host into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:12,129 [wapttasks WaptTaskManager 3356] INFO Running task Installation de avw-adminwin.mondomaine.fr(=6) (t che #10) created by console
HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
Meine Zertifizierungsstelle bleibt unverändert und wird im Speicher jedes Windows-Clients als vertrauenswürdige Stammzertifizierungsstelle bereitgestellt.

Ich habe versucht, Agent 2.6.0 manuell zu installieren, aber das Ergebnis bleibt dasselbe.

Hier ist der Inhalt der wapt-get.ini-Datei auf einem Windows-Client:

Code: Alle auswählen

[global]
repo_url=https://wapt.mondomaine.fr/wapt
wapt_server=https://wapt.mondomaine.fr
verify_cert=1
use_repo_rules=1
use_kerberos=1
use_fqdn_as_uuid=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
include_dmi_inventory=1
include_wmi_inventory=1
use_hostpackages=1
peercache_enable=0
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0

[waptwua]
enabled=1
default_allow=1
install_delay=3
download_scheduling=12h
install_scheduling=1d
install_at_shutdown=1
direct_download=False
include_potentially_superseded_updates=True
Zuletzt bearbeitet von cefinformatique am 4. Dezember 2024 um 15:18 Uhr, 1 Mal bearbeitet.
Hoch
fschelfaut
Nachrichten: 30
Anmeldung: 7. November 2024 - 12:22 Uhr

4. Dezember 2024 – 14:19 Uhr

Hallo,

seit WAPT Version 2.6 verwenden wir nicht mehr direkt den Windows-Zertifikatspeicher.
Wir greifen nun auf die cacert.pem, die sich im folgenden Verzeichnis befindet:
C:\Program Files (x86)\wapt\lib\site-packages\certifi.

Wenn Sie eine interne Zertifizierungsstelle (CA) verwenden, müssen Sie diese bei der Agentenerstellung angeben.

Bitte überprüfen Sie auf Ihrem WAPT-Server die /opt/wapt/waptserver/ssl/cert.pem , um sicherzustellen, dass sie die vollständige Zertifikatskette enthält.
Diese muss drei Abschnitte enthalten, die jeweils mit
„-----BEGIN CERTIFICATE-----“
. Sollte dies nicht der Fall sein, könnte dies Ihr SSL-Zertifikatproblem erklären

, Flavien.
Hoch
cefinformatique
Nachrichten: 31
Anmeldung: 26. Mai 2023 - 14:25 Uhr

4. Dezember 2024 – 15:18 Uhr

Hallo,

okay, das Problem ist gelöst. Ich habe meine Zertifizierungsstelle zur Datei C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem hinzugefügt.

Ich werde diese Datei kopieren und per Gruppenrichtlinie auf allen meinen Arbeitsstationen verteilen, um die Verbindung zu WAPT wiederherzustellen.

Vielen Dank! :D
Hoch
fschelfaut
Nachrichten: 30
Anmeldung: 7. November 2024 - 12:22 Uhr

4. Dezember 2024 – 15:54 Uhr

Guten Morgen,

Beachten Sie, dass die Änderung dieser Datei C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem Das muss vorübergehend sein!

Denn mit jeder neuen Version von WAPT kann diese Datei überschrieben werden, wodurch Ihre Änderungen verloren gehen können.

Der beste Ansatz wäre, einen Agenten zu generieren und diesen einzusetzen Serverzertifikatsprüfung An Das Zertifikat vom Server abrufen Auf diese Weise ruft der Agent die vollständige Kette vom WAPT-Server ab. Wenn alle Ihre Agenten bereits auf dem neuesten Stand sind, benötigen Sie ein dynamisches Konfigurationspaket.

Privates Repository -> Paketvorlage generieren -> Dynamische Agentenkonfiguration
Nachher Serverzertifikatsprüfung An Das Zertifikat vom Server abrufen
conf_dynamique_agent.PNG
conf_dynamique_agent.PNG (17,25 KB) 5181 Aufrufe
Ihrerseits müssen Sie die Datei unbedingt überprüfen /opt/wapt/waptserver/ssl/cert.pem auf Ihrem WAPT-Server, dass er die vollständige Zertifikatskette (3 Zertifikate) enthält

Flavien
Hoch
Gesperrt

Zurück zum "WAPT-Server"


  • Um mit WAPT weiterzukommen