Foro de TI tranquilo

Contáctanos
en https://forum.tranquil.it/

[RESUELTO] Problema con el certificado HTTPS

https://forum.tranquil.it/viewtopic.php?t=3252

Página 1 de 1

[RESUELTO] Problema con el certificado HTTPS

Publicado: 27 de octubre de 2022 - 16:46
por Stenon
Buen día,
Cuando configuro el servidor con un certificado externo en nginx y lo recargo (reload nginx), la página web aparece correctamente como HTTPS
Así que yo estaba feliz.
Ahora me aparece un error cuando intento implementar usando waptdeploy.exe y el hash y el waptagent... hay un error al descargar este waptagent

Código: Seleccionar todo

C:\Users\wapttestuser\Downloads>waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12463 --wait=15 --waptsetupurl=https://waptserver/wapt/waptagent.exe
{"hash":"02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a","minversion":"2.2.3.12463","wait":"15","waptsetupurl":"https://waptserver/wapt/waptagent.exe"}
WAPT version:
WAPT required version: 2.2.3.12463
Wapt agent path: C:\Users\samuel.adm\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://waptserver/wapt/waptagent.exe
Trying to reach https://waptserver/wapt/waptagent.exe...
Expecting hash sha256: 02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a
Using proxy :
Error trying to get https://waptserver/wapt/waptagent.exe : Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00403958:
Exception: Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']
  $00403958
  $00404D73
Cuando vuelvo a ingresar el certificado autofirmado desde la instalación en nginx... funciona nuevamente, pero el HTTPS no es compatible

PD: Intenté recrear mi paquete waptagent con un nuevo hash... pero ese no es el problema... Sé que es mi configuración
y finalmente https://waptserver/wapt/waptagent.exe es adecuadamente accesible
Gracias de antemano !
Samuel

Re: Problema con el certificado para HTTPS

Publicado: 31 de octubre de 2022 - 11:57 a. m.
por sfonteneau
¿El problema es solo con waptdeploy?

Re: Problema con el certificado para HTTPS

Publicado: 2 de noviembre de 2022 - 9:50 a. m.
por Stenon
Al parecer si.
Había configurado la GPO y la había probado en una máquina, y funcionó... pero al instalar el certificado (válido para nuestro sitio), la GPO dejó de funcionar, así que intenté ejecutar el comando manualmente, encontrando los errores mencionados en la publicación anterior. Al revertir al certificado antiguo (autofirmado), el comando se ejecuta correctamente y el agente se implementa en la máquina de prueba.

¿Hay algún paso que me perdí al instalar/copiar mi certificado en el servidor Debian?

Algunos detalles: /etc/nginx/site-enabled/wapt.conf

Código: Seleccionar todo

server {
    listen                      80;
    listen                      [::]:80;
    server_name                 _;
    return 301                  https://$host$request_uri;
}

server {
    listen                      443 ssl;
    listen                      [::]:443 ssl;
    server_name                 _;
    #server_name                 wapt.site.fr;
    # BACKUP certificat installation WAPT => autosigné
    #ssl_certificate             "/opt/wapt/waptserver/ssl/cert.pem";
    #ssl_certificate_key         "/opt/wapt/waptserver/ssl/key.pem";

    # Certificat site.fr => pour notre site ici
    ssl_certificate             "/opt/wapt/waptserver/ssl/cert+CA-site.fr.pem";
    ssl_certificate_key         "/opt/wapt/waptserver/ssl/wildcard-site.fr.pem";
    ssl_protocols               TLSv1.2;
    ssl_dhparam                 "/etc/ssl/certs/dhparam.pem";

    ssl_prefer_server_ciphers   on;
    ssl_ciphers                 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_stapling                on;
    ssl_stapling_verify         on;
    ssl_session_cache           none;
    ssl_session_tickets         off;

    # HSTS (ngx_http_headers_module is required) (63072000 seconds)
    add_header Strict-Transport-Security "max-age=63072000" always;
    #ssl_client_certificate "/opt/wapt/conf/ca-wapt.site.fr.crt";
    #ssl_crl "None";
    #ssl_verify_client optional;
    gzip_min_length     1000;
    gzip_buffers        4 8k;
    gzip_http_version   1.0;
    gzip_disable        "msie6";
    gzip_types          text/plain text/css application/json;
    gzip_vary           on;

    index index.html;
    client_max_body_size 12288m;
    client_body_timeout 1800;

    # sub instances
    include /opt/wapt/conf/wapt.d/*.conf;

    location /static {
            alias "/opt/wapt/waptserver/static";
    }
    location /ssl {
            alias "/var/www/ssl";
    }
    # not protected URL
    location ~ ^/(wapt/waptsetup.*.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json|rules.json|licences.json)$ {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        root "/var/www";
    }
    # not protected URL
    location /wads {
        alias "/var/www/wads";
    }
    # SSL protected URL
    location ~ ^/(wapt/.*|waptwua/.*|wapt-diff-repos/.*)$ {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        # be sure these headers are not forwarded
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";
        root "/var/www";
    }
    # we don't want to expose our list of computers in case someone scan this folder.
    location /wapt-host/Packages {
        return 403;
    }
    location ~ ^/(wapt-host/.*)$ {
        log_not_found off;
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";
        root "/var/www";
    }
    location ~ ^/.*_kerberos$ {
        return 403;
    }
    location / {
        add_header X-Remote-IP $remote_addr;
        proxy_http_version 1.1;
        proxy_request_buffering off;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8080;
    }
    location /socket.io {
        proxy_http_version 1.1;
        proxy_request_buffering off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_pass http://127.0.0.1:8080/socket.io;
    }
}
¡MUCHAS GRACIAS!

Re: Problema con el certificado para HTTPS

Publicado: 3 de noviembre de 2022 - 16:28
por Stenon
Estamos haciendo un pequeño progreso...
Si cambio mi llamada waptdeploy de esta manera:

Código: Seleccionar todo

waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://wapt.monsite.fr/wapt/waptagent.exe
Tengo el error anterior (TLS fallido)
Si lo cambio a él Dirección IP Eso funciona:

Código: Seleccionar todo

waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://[b]192.168.x.x[/b]/wapt/waptagent.exe
Pero la configuración de DNS en la máquina cliente está bien... ping -a 192.168.xx y ping wapt.monsite.fr

¿Alguna idea?

Muchas gracias

Re: Problema con el certificado para HTTPS

Publicado: 8 de noviembre de 2022 - 16:20
por dcardon
Hola Stenon,

el problema más común es que la cadena está incompleta en el archivo /opt/wapt/waptserver/ssl/cert+CA-site.fr.pem. Por favor, verifica que tengas los certificados intermedios.

Saludos,

Denis

Re: Problema con el certificado para HTTPS

Publicado: 10 de noviembre de 2022 - 09:59
por Stenon
Hola,

sí, parece que falta el FQDN en mi certificado porque estoy usando un certificado comodín. Leí la publicación del 27 de enero de 2022 y es el mismo error.
Como tengo que usar mi certificado comodín, implementaré el agente a través de la dirección IP en mi GPO... y funciona correctamente.
Gracias por su ayuda
Saludos cordiales,
Samuel

Re: Problema con el certificado para HTTPS

Publicado: 10 de noviembre de 2022 - 10:11 a. m.
por dcardon
Hola Samuel,

gracias por tus comentarios. He abierto un ticket interno para este problema. Mientras tanto, marco el tema como resuelto.

Saludos cordiales,

Denis
Zona horaria configurada en UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Software para foros © phpBB Limited

Traducción oficial al francés © Qiaeru