[RESUELTO] SSL en el repositorio secundario de WAPTHttpServer

[estéreo]

Buen día,

No puedo hacer que un repositorio secundario funcione a través de HTTPS con WAPTHttpServer (Windows, wapt 2.6.1.17472)
Mi configuración utiliza una CA especificada en "verify_cert", que firma el servidor principal (todo le funciona correctamente, pero probablemente no utiliza WAPTHttpServer)
El certificado del repositorio secundario usa la misma CA, el repositorio secundario parece ser accesible a través de HTTPS (todo está bien a través de un navegador, la CA es la misma que la configurada en verify_cert), pero obtengo el siguiente error al ejecutar wapt-get update:

Código: Seleccionar todo

ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))

La regla de envío parece correcta (funcionó a través de HTTP y el servidor era accesible)
Los registros de wapt, en el lado del repositorio secundario, muestran acceso durante las pruebas con un navegador (access443.log), pero el archivo error443.log permanece obstinadamente vacío...
He leído las publicaciones y la documentación que abordan estos temas, pero estoy un poco estancado...

[Sfonteneau]

Hola

, para entenderlo correctamente, ¿creaste un certificado dedicado para el repositorio secundario desde tu CA?

¿Modificaste la configuración de wapthttpserver para incluir este nuevo par de certificados?

¿El certificado para el repositorio secundario es la cadena completa?

[estéreo]

Hola, gracias por tu respuesta.
La respuesta a las dos primeras preguntas es sí, pero necesito comprobar la cadena completa, aunque no creo que sea así. Lo investigaré.

[Sfonteneau]

También es necesario verificar que en wapt-get.ini

, verify_cert apunte correctamente a la CA raíz o a la CA inter-CA, pero no al certificado del servidor final.

[estéreo]

Gracias por las respuestas.
Revisé wapt-get.ini, pero parece que sigo recibiendo el mismo error con fullchain.

El acceso a través del navegador o incluso de la consola (si configuro el repositorio secundario como principal) es visible en access443.log, pero aún no hay nada en error443.log, y wapt-get update sigue fallando.

[Sfonteneau]

¿Qué devuelve el siguiente comando:

wapt-get update --force -ldebug?

[estéreo]

El mismo error ocurre varias veces:

Código: Seleccionar todo

...
2026-02-02 10:59:39,319 DEBUG Checking availability of https://<fqdn dépôt secondaire>/wapt/Packages
2026-02-02 10:59:39,319 DEBUG Starting new HTTPS connection (1): <fqdn dépôt secondaire>:443
2026-02-02 10:59:39,319 ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
2026-02-02 10:59:39,319 CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
...

Pero lo que me intriga es que no hay nada presente en error443.log, como si wapt-get ni siquiera hubiera intentado la conexión.

[Sfonteneau]

No verá nada en el lado del repositorio secundario porque es el agente el que rechaza la conexión https porque considera que el paquete no es válido.

Puedes probarlo en Python puro:

Código: Seleccionar todo

C:\Windows\System32>wapt-get shell
Python 3.11.14 (main, Dec 18 2025, 13:46:39) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
(InteractiveConsole)
>>> import requests
>>> requests.get('https://reposecondaire.mydomain.lan',verify=r'C:\Program Files (x86)\wapt\ssl\server\ca.crt').content

Pero debería responder:

Código: Seleccionar todo

[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)

Si funciona con su navegador, entonces falta la cadena completa en el lado del servidor (falta la parte intermedia)
O bien la ruta: C:\Archivos de programa (x86)\wapt\ssl\server\ca.crt no apunta a la CA sino a un certificado final (pinning)

¿Reiniciaste correctamente el servidor HTTP del repositorio secundario después de colocar la cadena completa en el repositorio secundario?

[estéreo]

Vale, ¡gracias! (No conocía wapt-get shell ).
No hubo fijación de certificados y el servicio se reinició, pero revisé la cadena completa y parecía que había una inversión en el orden de los certificados (había recuperado la cadena completa del navegador). ¡Ahora funciona! ¡Muchísimas gracias por tu ayuda!

Edición: En realidad, no, no hubo ninguna inversión, simplemente ya no había error porque ya no era accesible y estaba cambiando al método alternativo...

[Sfonteneau]

¿Funciona con el comando curl?

Código: Seleccionar todo

curl https://reposecondaire.mydomain.lan --cacert "C:\Program Files (x86)\wapt\ssl\server\ca.crt"