Ruhiges IT-Forum

Hallo,

nach einer Fusion zweier Unternehmen befindet sich mein Linux-Server, der zuvor zur Domain XXX.fr gehörte, nun in der Domain YYY.org.

Seitdem habe ich verschiedene Probleme, hauptsächlich mit Windows-Updates, die sich nicht oder nicht ordnungsgemäß installieren lassen.

In den Client-Logs erhalte ich immer wieder die Meldung

: „Fehler bei der Überprüfung der Anforderungssignatur: SSL-Signaturprüfung für Zertifikat {'organizationName': 'HP', 'commonName': '21CA61F1-9589-EC11-810F-C01803D8F19C'}, ausgestellt von srvwapt.xxx.fr, fehlgeschlagen.“

Bei genauerer Betrachtung stelle ich fest, dass die Zertifikate (im privaten Ordner) auf den Clients vom Server srvwapt.xxx.fr ausgestellt wurden.
Das Serverzertifikat (im SSL-Ordner des Clients) hat sich nicht geändert.

Meine Workstations haben ebenfalls ihre Domain von xxx.fr auf yyy.fr gewechselt, sind aber in der Konsole sichtbar.

In der waptget.ini-Datei auf meinen Arbeitsstationen habe ich die IP-Adresse des Servers anstelle des FQDN verwendet, und es hat einwandfrei funktioniert.

Daher habe ich die Agenten nach der Migration nicht neu installiert.

Gibt es in diesem Fall eine bestimmte Vorgehensweise?
– Datenbank zurücksetzen?
– Agenten auf den Arbeitsstationen neu installieren?
– Ein neues Zertifikat erstellen?
– Sonstiges…?

Vielen Dank.

Hallo Jérôme,

WAPT-Version, Server usw. (siehe Forenregeln).

Es gibt mehrere Möglichkeiten, eine Workstation auf dem WAPT-Server zu registrieren:
* per BIOS-UUID (oder zufälliger UUID)
* per FQDN.

Wenn die Agenten standardmäßig per UUID-Registrierung installiert wurden, können sie sich problemlos erneut auf dem Server registrieren. Sie müssen lediglich wieder eine Verbindung zum Server herstellen und sich mit ihrem Clientzertifikat authentifizieren können. Der Name des ursprünglichen Rechners wird in der Zertifizierungsstelle für die Client-Workstation-Authentifizierung referenziert, dient aber nur zu Informationszwecken. Daher gibt es keine Probleme bei einer Umbenennung oder Änderung der Domäne.

Das HTTPS-Zertifikat muss von den Workstations erkannt werden. Wenn das Zertifikat standardmäßig von einer anerkannten Zertifizierungsstelle ausgestellt wurde (z. B. Verisign, die im Windows-Zertifikatspeicher vorhanden ist), ist keine weitere Konfiguration erforderlich, damit das Zertifikat erkannt wird (vorausgesetzt, `verify_cert=1` weist den WAPT-Agenten an, den Windows-Zertifikatspeicher zu verwenden). Wird das HTTPS-Zertifikat nicht erkannt, müssen Sie es entweder dem Zertifikatsspeicher hinzufügen oder es fixieren; siehe WAPT-Dokumentation. Dies ist jedoch nicht WAPT-spezifisch, sondern gilt für Standard-HTTPS.

Anschließend muss der Agent auf den korrekten Server verweisen. Wenn Sie die alte Serveradresse in Ihrer lokalen WAPT-Konfiguration verwenden und diese serverseitig geändert haben und SSL aktiviert ist, funktioniert dies natürlich nicht einwandfrei (es sei denn, Sie haben das SAN-Attribut beim Generieren des neuen HTTPS-Zertifikats angegeben).

Mit freundlichen Grüßen,

Denis

WAPT-Serverversion: 2.3.0.13516 Debian 11 Bulleyes
WAPT-Agentversion: 2.3.0.13516


Hallo,
zur Klarstellung: Ich hatte WAPT auf PCs in Domäne 1 installiert, und es funktionierte einwandfrei.

Nach der Fusion mit einem anderen Unternehmen wurden die PCs aus Domäne 1 in Domäne 2 migriert.
In dieser Domäne 2 befinden sich sowohl die „alten“ PCs (Domäne 1) als auch die neuen.

Ich habe die neue wapt-get.ini-Datei mit dem korrekten Server und den – wie ich annehme – korrekten Einstellungen auf allen alten Rechnern neu bereitgestellt.
Außerdem habe ich das neue Zertifikat unter c:\....\wapt\ssl abgelegt.

Auf den neuen PCs habe ich den Agenten vom neuen Server installiert.

Die Agenten funktionieren zwar, aber es treten einige ungewöhnliche Probleme auf, die vorher nicht bestanden:

Über die Konsole kann ich weder die Update-Prüfungen noch irgendetwas anderes ausführen;
auf den alten PCs passiert nichts. Auf den neuen PCs erhalte ich eine Fehlermeldung, wenn ich in der Eingabeaufforderung mit einem Administratorkonto den Befehl `wapt-get waptwua-install` eingebe. Führe ich den Befehl im Administratormodus aus, funktioniert es (waptget_waptwuainstall.png). Ist das normal?

Außerdem möchte ich auf einem neuen PC Nginx installieren. Ich habe das Paket heruntergeladen, erhalte aber beim Versuch der Installation eine Fehlermeldung (error_deploy.png).
Ich habe die Protokolle des PCs überprüft, konnte aber kein Problem feststellen.
Meine wapt-get.ini-Datei und das Protokoll sind im ZIP-Archiv enthalten.

Danke.

Hallo,

Ihre Angaben deuten auf einen Zertifikatfehler hin.

Wird das Zertifikat, mit dem Sie signieren, korrekt im Zertifikatsmenü des Rechners (rechts) angezeigt?

Simon