[RESUELTO] SSLCertVerificationError después de la actualización de 2.5.5 a 2.6.0

Preguntas sobre el servidor WAPT / Solicitudes y ayuda relacionadas con el servidor WAPT
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Bloqueado
cefinformática
Mensajes: 31
Inscripciones: 26 de mayo de 2023 - 14:25 horas.

4 de diciembre de 2024 - 10:31

Servidor WAPT: 2.6.0.16552-49ddf2d3-amd64 (Debian 12)
Consola WAPT: 2.6.0.16552-49ddf2d3 (Debian 12)
Agente WAPT: 2.6.0.16552 (Windows 11 23:20)
Edición: Enterprise

Buen día,

Actualicé mi servidor (y consola) de la versión 2.5.5 a la 2.6.0, pero después de recrear e implementar el agente de Windows, todos mis clientes muestran un error de verificación de certificado:

Código: Seleccionar todo

2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] ERROR Certificate check failed for https://wapt.mondomaine.fr/wapt/Packages and verify_cert True
2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:11,973 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt-host into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:12,129 [wapttasks WaptTaskManager 3356] INFO Running task Installation de avw-adminwin.mondomaine.fr(=6) (t che #10) created by console
HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
Mi autoridad de certificación sigue siendo la misma y se implementa en la tienda de cada cliente de Windows como una autoridad de certificación raíz de confianza.

Intenté una instalación manual del agente 2.6.0 pero el resultado sigue siendo el mismo.

Aquí está el contenido de wapt-get.ini en un cliente de Windows:

Código: Seleccionar todo

[global]
repo_url=https://wapt.mondomaine.fr/wapt
wapt_server=https://wapt.mondomaine.fr
verify_cert=1
use_repo_rules=1
use_kerberos=1
use_fqdn_as_uuid=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
include_dmi_inventory=1
include_wmi_inventory=1
use_hostpackages=1
peercache_enable=0
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0

[waptwua]
enabled=1
default_allow=1
install_delay=3
download_scheduling=12h
install_scheduling=1d
install_at_shutdown=1
direct_download=False
include_potentially_superseded_updates=True
Última edición realizada por cefinformatique el 4 de diciembre de 2024 a las 15:18, editado 1 vez.
Alto
fschelfaut
Mensajes: 28
Inscripción: 7 de noviembre de 2024 - 12:22

4 de diciembre de 2024 - 14:19

Hola,

desde la versión 2.6 de WAPT, ya no usamos directamente el almacén de certificados de Windows.
Ahora dependemos del cacert.pem, ubicado en el siguiente directorio:
C:\Archivos de programa (x86)\wapt\lib\site-packages\certifi.

Además, si está utilizando una CA interna, debe especificarla al generar el agente.

Por su parte, debe verificar el /opt/wapt/waptserver/ssl/cert.pem en su servidor WAPT para asegurarse de que contiene la cadena completa.
Esto significa que debe incluir tres secciones distintas que comienzan con:
-----BEGIN CERTIFICATE-----
Si este no es el caso, eso explicaría su problema con el certificado SSL

, Flavien.
Alto
cefinformática
Mensajes: 31
Inscripciones: 26 de mayo de 2023 - 14:25 horas.

4 de diciembre de 2024 - 15:18

Hola,

de acuerdo, el problema se solucionó agregando mi CA al archivo C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem.

Copiaré este archivo y lo implementaré mediante GPO en todas mis estaciones de trabajo para reconectarlas a WAPT.

¡Gracias! :D
Alto
fschelfaut
Mensajes: 28
Inscripción: 7 de noviembre de 2024 - 12:22

4 de diciembre de 2024 - 15:54

Buen día,

Tenga en cuenta que al modificar este archivo C:\Archivos de programa (x86)\wapt\lib\site-packages\certifi\cacert.pem ¡Debe ser temporal!

Porque con cada nueva versión de WAPT, este archivo puede reescribirse y, por lo tanto, sus cambios pueden eliminarse.

El mejor enfoque sería generar un agente y ponerlo Verificación del certificado del servidor seguro Recuperar el certificado del servidor De esta forma, el agente recuperará la cadena completa del servidor WAPT. Si todos sus agentes ya tienen la última versión, deberá usar un paquete de configuración dinámica.

Repositorio privado -> Generar una plantilla de paquete -> Configuración dinámica del agente
Después Verificación del certificado del servidor seguro Recuperar el certificado del servidor
conf_dynamique_agent.PNG
conf_dynamique_agent.PNG (17,25 KB) Visto 4957 veces
Por su parte, es absolutamente necesario que revise el archivo /opt/wapt/waptserver/ssl/cert.pem en su servidor WAPT que contiene la cadena completa (3 certificados)

Flavien
Alto
Bloqueado

Regresar a "Servidor WAPT"


  • Para ir más allá con WAPT