Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole

Teilen Sie hier Ihre Tipps oder Probleme bezüglich der WAPT-Konsole oder des WAPT-Agenten mit
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Gesperrt
etunilim
Nachrichten: 9
Anmeldung: 15. November 2019 - 11:17 Uhr

20. November 2019 – 16:44 Uhr

Guten Morgen,

WAPT Version 1.7
Server: Debian 10
Konsole: Win 10

Ich konfiguriere gerade die WAPT-Konsole auf meinem Administrationsarbeitsplatz gemäß der Dokumentation. Alles lief gut, bis ich in der Konsolenkonfiguration das Kontrollkästchen „HTTPS-Serverzertifikat überprüfen“ aktiviert habe.
Das Zertifikat wurde erfolgreich vom Server abgerufen und in wapt/ssl/server/ abgelegt, aber ich erhalte sofort SSL-Fehler, die im Konfigurationsfenster rot angezeigt werden:

Code: Alle auswählen

error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
Ich habe verschiedene Dinge ausprobiert, allerdings ohne großen Erfolg (unter anderem enable-check-certificate in einem cmd-Fenster und anschließend den wapt-Dienst neu gestartet), aber es ändert sich nichts.
Ich kann die Konsole gar nicht mehr starten, ich bekomme immer wieder die gleichen SSL-Fehlermeldungen.

Auf dem Server habe ich die selbstsignierten Zertifikate durch die meiner Organisation ersetzt (indem ich die Dateien cert.pem und key.pem im Verzeichnis /opt/wapt/waptserver/ssl/ ersetzt habe). Die Verbindung zur Weboberfläche des Servers funktioniert einwandfrei.

Kann mir jemand helfen? Denn im Moment sehe ich das Problem nicht wirklich.

Dank im Voraus
UND.
Hoch
etunilim
Nachrichten: 9
Anmeldung: 15. November 2019 - 11:17 Uhr

20. November 2019 – 16:54 Uhr

D,

Nur eine kleine Anmerkung, falls es hilfreich ist:

Wenn ich auf dem Administrations-PC (Windows) den Befehl `wapt-get update` ausführe, erhalte ich folgende Fehlermeldung:

Code: Alle auswählen

C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(Ich habe natürlich den Servernamen geändert.)
Hoch
etunilim
Nachrichten: 9
Anmeldung: 15. November 2019 - 11:17 Uhr

22. November 2019 - 11:28 Uhr

Hallo,

nach weiteren Tests tritt der Fehler nicht auf, wenn ich die Option „HTTPS-Zertifikat des Servers überprüfen“ aktiviere. In diesem Fall kann ich auf „Überprüfen“ klicken, und alles scheint in Ordnung zu sein (es wird keine Fehlermeldung angezeigt).
Das Problem tritt auf, wenn ich auf „HTTP-Serverzertifikat abrufen“ klicke:
Dann wird zwar das Serverzertifikat (aus „Program Files (x86)/wapt/ssl/server/“) abgerufen, und es ist auch das korrekte Zertifikat, aber es treten trotzdem Verbindungsfehler auf.
Das bereitet mir große Sorgen, denn wenn ich nur das Kontrollkästchen aktiviere, sind keine Zertifikate vorhanden (nichts in „Program Files (x86)/wapt/ssl/server/“). Ich verstehe daher nicht genau, was überprüft wird (ich gebe zu, dass mir dieser Zertifikatsmechanismus ziemlich unklar ist und ich mich irren könnte).

Könnten Sie mir bitte weitere Informationen dazu geben?

Vielen Dank im Voraus
.
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

22. November 2019 - 12:44 Uhr

Hallo,

meiner Meinung nach haben Sie die vollständige Zertifikatskette auf dem Nginx-Server nicht angegeben:

https://www.wapt.fr/fr/doc/wapt-securit ... ganization.

Um eine vollständige Kette anzugeben:
`echo srvwapt.mydomain.lan.crt ca.crt > cert.pem`.


Wie die Dokumentation
(https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent) jedoch zeigt,

ist es bei Verwendung eines kommerziellen Zertifikats einfacher, den Wert von `verify_cert` auf 1 zu setzen.

Wapt verwendet dann das Python Cerifi-Bundle (139 öffentliche Zertifikate...) zur Überprüfung der Verbindung:
`C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem`.


Beachten Sie, dass die Agentenkonfiguration `C:\Program Files (x86)\wapt\wapt-get.ini`
unabhängig von der Konsolenkonfiguration `%localappdata%\waptconsole\waptconsole.ini` ist.
Hoch
etunilim
Nachrichten: 9
Anmeldung: 15. November 2019 - 11:17 Uhr

22. November 2019 – 14:48 Uhr

Hallo, mir sind diese Zertifikatsprobleme noch nicht ganz klar. Genauer gesagt: Ich verwende ein Let's Encrypt-Zertifikat und die Datei fullchain.pem (die Datei cert.pem funktionierte nicht richtig, auch nicht in der Weboberfläche des Servers, eben wegen der unvollständigen Zertifikatskette). Die Datei fullchain.pem soll diese vollständige Kette bereitstellen und hat das Problem mit Firefox tatsächlich behoben. Dies ist die Datei, die von der Konsole abgerufen wird (sie wird automatisch in myserver.my.domain.crt umbenannt, enthält aber dieselben Informationen wie die Datei fullchain.pem). Die mir bei Let's Encrypt zur Verfügung stehenden Dateien sind: cert.pem, chain.pem und fullchain.pem (letztere enthält den Inhalt der beiden anderen). Obwohl die Namen und Dateiendungen unterschiedlich sind, denke ich, dass sie der Dokumentation entsprechen. Die Datei „myserver.my.domain.crt“, die beim Abrufen des Zertifikats über die Konsole generiert wurde, enthält tatsächlich zwei Schlüssel: einen mit dem CN-Namen meines Servers und Let's Encrypt Authority X3 als Aussteller, und einen zweiten mit Let's Encrypt Authority X3 als CN und DST Root CA X3 als Aussteller. Falls Ihnen das verständlich ist … Ich muss gestehen, ich bin völlig ratlos.














Hoch
Gesperrt

Zurück zu „WAPT-Nutzung (Konsole, Agent) / WAPT-Nutzung (Konsole, Agent)“


  • Um mit WAPT weiterzukommen