[GELÖST] SSL auf dem sekundären WAPTHttpServer-Repository

[Stereobo]

Guten Morgen,

Ich kann kein sekundäres Repository über HTTPS mit WAPTHttpServer (Windows, wapt 2.6.1.17472) zum Laufen bringen
Meine Konfiguration verwendet eine in "verify_cert" angegebene Zertifizierungsstelle, die den Hauptserver signiert (alles funktioniert einwandfrei, aber wahrscheinlich wird WAPTHttpServer nicht verwendet)
Das sekundäre Repository-Zertifikat verwendet dieselbe Zertifizierungsstelle, das sekundäre Repository scheint über HTTPS erreichbar zu sein (über einen Browser funktioniert alles einwandfrei, die Zertifizierungsstelle ist dieselbe wie die in verify_cert konfigurierte), aber ich erhalte beim Ausführen von wapt-get update die folgende Fehlermeldung:

Code: Alle auswählen

ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))

Die Übermittlungsregel scheint korrekt zu sein (sie funktionierte über HTTP und der Server war erreichbar)
Die WAPT-Logs auf der Seite des sekundären Repositorys zeigen zwar Zugriffe während Tests mit einem Browser an (access443.log), aber die Datei error443.log bleibt hartnäckig leer...
Ich habe die Beiträge und die Dokumentation zu diesen Themen gelesen, aber ich komme nicht weiter...

[Sfonteneau]

Hallo

, um es richtig zu verstehen: Sie haben ein dediziertes Zertifikat für das sekundäre Repository von Ihrer Zertifizierungsstelle erstellt?

Anschließend haben Sie Ihre wapthttpserver-Konfiguration angepasst, um dieses neue Zertifikatspaar einzubinden?

Handelt es sich bei dem Zertifikat für das sekundäre Repository um die vollständige Zertifikatskette?

[Stereobo]

Hallo, vielen Dank für Ihre Antwort.
Die ersten beiden Fragen lassen sich mit Ja beantworten, aber ich muss die gesamte Lieferkette noch einmal überprüfen, obwohl ich nicht glaube, dass das der Fall ist. Ich kümmere mich darum.

[Sfonteneau]

Außerdem muss überprüft werden, ob in wapt-get.ini

verify_cert korrekt auf die Root-CA oder die Inter-CA verweist, jedoch nicht auf das endgültige Serverzertifikat.

[Stereobo]

Danke für die Antworten.
Ich habe die wapt-get.ini überprüft, erhalte aber anscheinend denselben Fehler mit der vollständigen Kette.

Der Zugriff über den Browser oder sogar die Konsole (wenn ich das sekundäre Repository als primäres festlege) ist in access443.log sichtbar, aber error443.log ist weiterhin leer, und wapt-get update schlägt nach wie vor fehl.

[Sfonteneau]

Was gibt der folgende Befehl zurück:

wapt-get update --force -ldebug?

[Stereobo]

Derselbe Fehler tritt mehrfach auf:

Code: Alle auswählen

...
2026-02-02 10:59:39,319 DEBUG Checking availability of https://<fqdn dépôt secondaire>/wapt/Packages
2026-02-02 10:59:39,319 DEBUG Starting new HTTPS connection (1): <fqdn dépôt secondaire>:443
2026-02-02 10:59:39,319 ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
2026-02-02 10:59:39,319 CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
...

Was mich aber wundert, ist, dass in error443.log nichts zu finden ist, als ob wapt-get die Verbindung gar nicht erst versucht hätte.

[Sfonteneau]

Auf der sekundären Repository-Seite werden Sie nichts sehen, da der Agent die HTTPS-Verbindung ablehnt, weil er das Bundle für ungültig hält.

Sie können es in reinem Python ausprobieren:

Code: Alle auswählen

C:\Windows\System32>wapt-get shell
Python 3.11.14 (main, Dec 18 2025, 13:46:39) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
(InteractiveConsole)
>>> import requests
>>> requests.get('https://reposecondaire.mydomain.lan',verify=r'C:\Program Files (x86)\wapt\ssl\server\ca.crt').content

Aber er sollte antworten:

Code: Alle auswählen

[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)

Wenn es mit Ihrem Browser funktioniert, dann fehlt entweder die gesamte Kette auf Serverseite (das Zwischenglied fehlt)
Entweder verweist der Pfad: C:\Program Files (x86)\wapt\ssl\server\ca.crt nicht auf die Zertifizierungsstelle, sondern auf ein endgültiges Zertifikat (Pinning)

Haben Sie den HTTP-Server des sekundären Repositorys ordnungsgemäß neu gestartet, nachdem Sie die vollständige Blockchain auf das sekundäre Repository übertragen haben?

[Stereobo]

Okay, danke! (Ich kannte wapt-get shell nicht .)
Es gab kein Pinning und der Dienst wurde neu gestartet, aber ich habe die vollständige Zertifikatskette überprüft und es schien, als ob die Zertifikatsreihenfolge umgekehrt worden wäre (ich hatte die vollständige Zertifikatskette des Browsers abgerufen). Jetzt funktioniert es! Vielen Dank für die Hilfe!

Nachtrag: Nein, es gab keine Umkehrung, es wurde einfach kein Fehler mehr angezeigt, da der Dienst nicht mehr erreichbar war und auf den Fallback-Dienst umgeschaltet wurde.

[Sfonteneau]

Funktioniert es mit dem curl-Befehl?

Code: Alle auswählen

curl https://reposecondaire.mydomain.lan --cacert "C:\Program Files (x86)\wapt\ssl\server\ca.crt"