Hallo,
ich habe Ihre Dokumentation zum Ersetzen des Server-SSL-Zertifikats befolgt (
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html).
Jetzt laden meine Arbeitsstationen jedoch keine Updates mehr herunter. Ich muss die öffentlichen Schlüssel unter C:\Program Files (x86)\wapt\ssl\server manuell ersetzen. Dafür muss ich eine Gruppenrichtlinie erstellen.
Muss ich nach diesem Update eine neue Agentenversion generieren?
Ich bin bei der Änderung etwas unvorsichtig vorgegangen, und jetzt ist alles durcheinander. Wie stellen Sie sich diese Art von Wartungsarbeit vor, um die Verbindung zwischen Server und Agenten nicht zu unterbrechen?
[GELÖST] SSL-Zertifikatänderung
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
dcardon
- WAPT-Experte
- Nachrichten: 1954
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Toma,
Die Zertifikatsfestlegung erfolgt während der Agentengenerierung und muss daher aktualisiert werden. Wenn Sie eine waptdeploy-Gruppenrichtlinie verwenden, müssen Sie die Option `--force` hinzufügen, falls die Agentenversion nicht erhöht wurde.
Die von Ihnen verwendete Dokumentation bezieht sich auf die Ersteinrichtung (sie befindet sich im Abschnitt „Installation“). Ich werde prüfen, ob sich dies auch in der Wartungsdokumentation formalisieren lässt.
Aufrichtig,
Denis
Wenn Sie ein selbstsigniertes Zertifikat verwendet und bei der Erstellung des Agenten eine Zertifikatsprüfung angefordert haben, ist die einzige Möglichkeit zur Durchführung der Prüfung das sogenannte Certificate Pinning. Daher das von Ihnen beobachtete Verhalten (siehe die Erläuterungsseiten zum WAPT-Konzept in der Dokumentation).toma schrieb: ↑28. Juni 2019 - 14:57 Uhr Ich habe Ihre Dokumentation zum Ersetzen des SSL-Zertifikats des Servers befolgt.
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html
Jetzt laden meine Arbeitsstationen die Updates aber nicht mehr herunter. Ich muss die öffentlichen Schlüssel in C:\Program Files (x86)\wapt\ssl\server manuell ersetzen. Dafür muss ich eine Gruppenrichtlinie erstellen.
Muss ich nach diesem Update eine neue Agentenversion generieren?
Ich bin bei dieser Änderung etwas unvorsichtig vorgegangen, und jetzt ist alles durcheinander. Wie stellen Sie sich diese Wartungsarbeit vor, um die Verbindung zwischen Server und Agenten nicht zu unterbrechen?
Die Zertifikatsfestlegung erfolgt während der Agentengenerierung und muss daher aktualisiert werden. Wenn Sie eine waptdeploy-Gruppenrichtlinie verwenden, müssen Sie die Option `--force` hinzufügen, falls die Agentenversion nicht erhöht wurde.
Die von Ihnen verwendete Dokumentation bezieht sich auf die Ersteinrichtung (sie befindet sich im Abschnitt „Installation“). Ich werde prüfen, ob sich dies auch in der Wartungsdokumentation formalisieren lässt.
Aufrichtig,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
In Ihrem Fall hätten Sie folgendermaßen vorgehen sollen
: Fügen Sie das neue (kommerzielle) Zertifikat am Ende des zuvor festgelegten Zertifikats (in wapt\ssl\server\myserver.dom.lan.crt) hinzu.
Generieren Sie anschließend einen neuen Agenten, um dieses neue Zertifikatspaket auf alle Maschinen zu verteilen.
Sobald dieses neue Paket auf ALLE Ihre Agenten verteilt ist, können Sie den Schlüssel und das Zertifikat auf der Nginx-Seite ändern.
Der WAPT-Agent akzeptiert dann das neue Zertifikat, da es sich in seinem Paket befindet (falls Sie Ihre Meinung ändern, können Sie auch das alte Zertifikat wiederherstellen; es wird ebenfalls vom WAPT-Agenten akzeptiert).
Beachten Sie generell, dass WAPT das HTTPS-Zertifikat anhand der Informationen in der Datei wapt-get.ini, insbesondere im Abschnitt `verify_cert` der globalen Datei, überprüft. Siehe Dokumentation:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Bevor Sie das Zertifikat serverseitig ändern, müssen Sie sicherstellen, dass die Agenten das neue Zertifikat akzeptieren.
Hinweis: Ich bevorzuge die Verwendung von Pinning. Es ist einfacher und genauso sicher.
: Fügen Sie das neue (kommerzielle) Zertifikat am Ende des zuvor festgelegten Zertifikats (in wapt\ssl\server\myserver.dom.lan.crt) hinzu.
Generieren Sie anschließend einen neuen Agenten, um dieses neue Zertifikatspaket auf alle Maschinen zu verteilen.
Sobald dieses neue Paket auf ALLE Ihre Agenten verteilt ist, können Sie den Schlüssel und das Zertifikat auf der Nginx-Seite ändern.
Der WAPT-Agent akzeptiert dann das neue Zertifikat, da es sich in seinem Paket befindet (falls Sie Ihre Meinung ändern, können Sie auch das alte Zertifikat wiederherstellen; es wird ebenfalls vom WAPT-Agenten akzeptiert).
Beachten Sie generell, dass WAPT das HTTPS-Zertifikat anhand der Informationen in der Datei wapt-get.ini, insbesondere im Abschnitt `verify_cert` der globalen Datei, überprüft. Siehe Dokumentation:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Bevor Sie das Zertifikat serverseitig ändern, müssen Sie sicherstellen, dass die Agenten das neue Zertifikat akzeptieren.
Hinweis: Ich bevorzuge die Verwendung von Pinning. Es ist einfacher und genauso sicher.
