Seite 1 von 1
Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole
Veröffentlicht: 20. November 2019 – 16:44 Uhr
von etunilim
Guten Morgen,
WAPT Version 1.7
Server: Debian 10
Konsole: Win 10
Ich konfiguriere gerade die WAPT-Konsole auf meinem Administrationsarbeitsplatz gemäß der Dokumentation. Alles lief gut, bis ich in der Konsolenkonfiguration das Kontrollkästchen „HTTPS-Serverzertifikat überprüfen“ aktiviert habe.
Das Zertifikat wurde erfolgreich vom Server abgerufen und in wapt/ssl/server/ abgelegt, aber ich erhalte sofort SSL-Fehler, die im Konfigurationsfenster rot angezeigt werden:
Code: Alle auswählen
error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
Ich habe verschiedene Dinge ausprobiert, allerdings ohne großen Erfolg (unter anderem enable-check-certificate in einem cmd-Fenster und anschließend den wapt-Dienst neu gestartet), aber es ändert sich nichts.
Ich kann die Konsole gar nicht mehr starten, ich bekomme immer wieder die gleichen SSL-Fehlermeldungen.
Auf dem Server habe ich die selbstsignierten Zertifikate durch die meiner Organisation ersetzt (indem ich die Dateien cert.pem und key.pem im Verzeichnis /opt/wapt/waptserver/ssl/ ersetzt habe). Die Verbindung zur Weboberfläche des Servers funktioniert einwandfrei.
Kann mir jemand helfen? Denn im Moment sehe ich das Problem nicht wirklich.
Dank im Voraus
UND.
Betreff: Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole
Veröffentlicht: 20. November 2019 – 16:54 Uhr
von etunilim
D,
Nur eine kleine Anmerkung, falls es hilfreich ist:
Wenn ich auf dem Administrations-PC (Windows) den Befehl `wapt-get update` ausführe, erhalte ich folgende Fehlermeldung:
Code: Alle auswählen
C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(Ich habe natürlich den Servernamen geändert.)
Betreff: Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole
Veröffentlicht: 22. November 2019 - 11:28 Uhr
von etunilim
Hallo,
nach weiteren Tests tritt der Fehler nicht auf, wenn ich die Option „HTTPS-Zertifikat des Servers überprüfen“ aktiviere. In diesem Fall kann ich auf „Überprüfen“ klicken, und alles scheint in Ordnung zu sein (es wird keine Fehlermeldung angezeigt).
Das Problem tritt auf, wenn ich auf „HTTP-Serverzertifikat abrufen“ klicke:
Dann wird zwar das Serverzertifikat (aus „Program Files (x86)/wapt/ssl/server/“) abgerufen, und es ist auch das korrekte Zertifikat, aber es treten trotzdem Verbindungsfehler auf.
Das bereitet mir große Sorgen, denn wenn ich nur das Kontrollkästchen aktiviere, sind keine Zertifikate vorhanden (nichts in „Program Files (x86)/wapt/ssl/server/“). Ich verstehe daher nicht genau, was überprüft wird (ich gebe zu, dass mir dieser Zertifikatsmechanismus ziemlich unklar ist und ich mich irren könnte).
Könnten Sie mir bitte weitere Informationen dazu geben?
Vielen Dank im Voraus
.
Betreff: Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole
Veröffentlicht: 22. November 2019 - 12:44 Uhr
von Sfonteneau
Hallo,
meiner Meinung nach haben Sie die vollständige Zertifikatskette auf dem Nginx-Server nicht angegeben:
https://www.wapt.fr/fr/doc/wapt-securit ... ganization.
Um eine vollständige Kette anzugeben:
`echo srvwapt.mydomain.lan.crt ca.crt > cert.pem`.
Wie die Dokumentation
(https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent) jedoch zeigt,
ist es bei Verwendung eines kommerziellen Zertifikats einfacher, den Wert von `verify_cert` auf 1 zu setzen.
Wapt verwendet dann das Python Cerifi-Bundle (139 öffentliche Zertifikate...) zur Überprüfung der Verbindung:
`C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem`.
Beachten Sie, dass die Agentenkonfiguration `C:\Program Files (x86)\wapt\wapt-get.ini`
unabhängig von der Konsolenkonfiguration `%localappdata%\waptconsole\waptconsole.ini` ist.
Betreff: Problem beim Überprüfen des HTTPS-Serverzertifikats in der Konsole
Veröffentlicht: 22. November 2019 – 14:48 Uhr
von etunilim
Hallo, mir sind diese Zertifikatsprobleme noch nicht ganz klar. Genauer gesagt: Ich verwende ein Let's Encrypt-Zertifikat und die Datei fullchain.pem (die Datei cert.pem funktionierte nicht richtig, auch nicht in der Weboberfläche des Servers, eben wegen der unvollständigen Zertifikatskette). Die Datei fullchain.pem soll diese vollständige Kette bereitstellen und hat das Problem mit Firefox tatsächlich behoben. Dies ist die Datei, die von der Konsole abgerufen wird (sie wird automatisch in myserver.my.domain.crt umbenannt, enthält aber dieselben Informationen wie die Datei fullchain.pem). Die mir bei Let's Encrypt zur Verfügung stehenden Dateien sind: cert.pem, chain.pem und fullchain.pem (letztere enthält den Inhalt der beiden anderen). Obwohl die Namen und Dateiendungen unterschiedlich sind, denke ich, dass sie der Dokumentation entsprechen. Die Datei „myserver.my.domain.crt“, die beim Abrufen des Zertifikats über die Konsole generiert wurde, enthält tatsächlich zwei Schlüssel: einen mit dem CN-Namen meines Servers und Let's Encrypt Authority X3 als Aussteller, und einen zweiten mit Let's Encrypt Authority X3 als CN und DST Root CA X3 als Aussteller. Falls Ihnen das verständlich ist … Ich muss gestehen, ich bin völlig ratlos.