Hallo,
das mag eine etwas naive Frage sein, aber können WAPT-Clients die HTTPS-Serverzertifikatsprüfung mit einem selbstsignierten Zertifikat nutzen?
Die Dokumentation dazu ist nicht ganz eindeutig:
https://www.wapt.fr/fr/doc/Installation ... ertificate
„Dieses selbstsignierte Zertifikat wird von Browsern nicht erkannt und ermöglicht keine ordnungsgemäße Überprüfung des WAPT-Servers.“
Vielen Dank.
[GELÖST] Gültiges SSL/TLS-Zertifikat für den WAPT-Server
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Ja, der WAPT-Client überprüft das Zertifikat, egal ob es selbstsigniert ist oder nicht.
Der Unterschied besteht darin, dass der Kunde bei einem kommerziellen Zertifikat bereits über eine Liste von Zertifizierungsstellen verfügt (von "certifi")
Das „autorisierte“ selbstsignierte Zertifikat (dem der WAPT-Client für HTTPS-Verbindungen zum Repository und Server vertraut) wird bei der Installation des benutzerdefinierten Agenten waptagent.exe verteilt. Es befindet sich im Verzeichnis C:\Program Files (x86)\wapt\ssl\server\ und wird in der Datei C:\Program Files (x86)\wapt\wapt-get.ini referenziert
über den Parameter "verify_cert"
Die Nachprüfung kann auf einem Client mithilfe des Befehls (cmd mit Administratorrechten) aktiviert werden
wapt-get enable-check-certificate
Der Unterschied besteht darin, dass der Kunde bei einem kommerziellen Zertifikat bereits über eine Liste von Zertifizierungsstellen verfügt (von "certifi")
Das „autorisierte“ selbstsignierte Zertifikat (dem der WAPT-Client für HTTPS-Verbindungen zum Repository und Server vertraut) wird bei der Installation des benutzerdefinierten Agenten waptagent.exe verteilt. Es befindet sich im Verzeichnis C:\Program Files (x86)\wapt\ssl\server\ und wird in der Datei C:\Program Files (x86)\wapt\wapt-get.ini referenziert
über den Parameter "verify_cert"
Code: Alle auswählen
[global]
...
verify_cert=C:\Program Files (x86)\wapt\ssl\server\srvwapt.ad.tranquil.it.crt
wapt-get enable-check-certificate
Ruhige IT
Okay, perfekt!
In der WAPT-Konfiguration aktiviere ich das Kontrollkästchen „Server-HTTPS-Zertifikat überprüfen“ und gebe
den Pfad zum CA-Bundle an. Ich klicke auf „Server-HTTPS-Zertifikat abrufen“, und das Zertifikat wird von C:\wapt\ssl\server\srwwapt.domain.crt abgerufen.
Bei der Validierung erhalte ich die Fehlermeldung: „
Fehler beim Verbinden mit SSL.
Fehler:14090086:SSL-
Routinen:ssl3_get_server_certificate:Zertifikatsprüfung fehlgeschlagen.“
Muss ich ein neues Zertifikat generieren? (Ich habe den Hostnamen zwischendurch geändert.)
Danke!
In der WAPT-Konfiguration aktiviere ich das Kontrollkästchen „Server-HTTPS-Zertifikat überprüfen“ und gebe
den Pfad zum CA-Bundle an. Ich klicke auf „Server-HTTPS-Zertifikat abrufen“, und das Zertifikat wird von C:\wapt\ssl\server\srwwapt.domain.crt abgerufen.
Bei der Validierung erhalte ich die Fehlermeldung: „
Fehler beim Verbinden mit SSL.
Fehler:14090086:SSL-
Routinen:ssl3_get_server_certificate:Zertifikatsprüfung fehlgeschlagen.“
Muss ich ein neues Zertifikat generieren? (Ich habe den Hostnamen zwischendurch geändert.)
Danke!
Der CN des vom HTTPS-Server verwendeten Zertifikats muss mit dem Hostnamen der URL übereinstimmen, die zum Zugriff auf den WAPT-Server verwendet wird (Wapt_server und repo_url)
Ruhige IT
