Hola,
seguí su documentación sobre el reemplazo del certificado SSL del servidor:
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html.
Pero ahora mis estaciones de trabajo ya no descargan actualizaciones. Tengo que volver a ellas para reemplazar la clave pública en C:\Program Files (x86)\wapt\ssl\server. Tendré que crear una GPO para solucionar esto.
¿Necesito generar una nueva versión del agente después de esta actualización?
Comencé esta modificación sin mucha precaución y ahora es un desastre. ¿Cómo prevén realizar este tipo de mantenimiento para evitar que se interrumpa la conexión entre el servidor y los agentes?
[RESUELTO] Cambio de certificado SSL
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola Toma,
La fijación de certificados se realiza durante la generación del agente, por lo que debe actualizarse. Si tiene una GPO waptdeploy, deberá agregar la opción --force si la versión del agente no se ha incrementado.
La documentación que seguiste es para la configuración inicial (se encuentra en la sección "Instalación"). Veré cómo formalizar esto en la documentación de mantenimiento.
Atentamente,
Denis
Si tenía un certificado autofirmado y solicitó la verificación del certificado al crear el agente, la única forma de realizar la verificación es mediante una fijación de certificado... De ahí el comportamiento que está observando (consulte las páginas de explicación del concepto WAPT en la documentación).toma escribió: ↑28 de junio de 2019 - 14:57 Seguí su documentación sobre el reemplazo del certificado SSL del servidor.
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html
Pero ahora mis estaciones de trabajo ya no descargan las actualizaciones. Tengo que volver a ellas para reemplazar la clave pública en C:\Program Files (x86)\wapt\ssl\server. Tendré que crear una GPO para solucionar esto.
¿Necesito generar una nueva versión del agente después de esta actualización?
Comencé esta modificación un poco descuidadamente y, al final, es un desastre. ¿Cómo prevé usted este tipo de tarea de mantenimiento para evitar que se rompa la conexión entre el servidor y los agentes?
La fijación de certificados se realiza durante la generación del agente, por lo que debe actualizarse. Si tiene una GPO waptdeploy, deberá agregar la opción --force si la versión del agente no se ha incrementado.
La documentación que seguiste es para la configuración inicial (se encuentra en la sección "Instalación"). Veré cómo formalizar esto en la documentación de mantenimiento.
Atentamente,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Lo que deberías haber hecho en tu caso
es: Agregar el nuevo certificado (comercial) al final del certificado previamente fijado (el que está en wapt\ssl\server\myserver.dom.lan.crt).
Luego, generar un nuevo agente para enviar este nuevo paquete de certificados a todas las máquinas.
Una vez que este nuevo paquete se haya enviado a TODOS tus agentes, entonces (y solo entonces) podrás cambiar la clave y el certificado en el lado de Nginx.
El agente WAPT aceptará entonces el nuevo certificado ya que estará en su paquete (si cambias de opinión, también puedes restaurar el anterior; también será aceptado por el agente WAPT).
En general, recuerda que WAPT verificará el certificado HTTPS utilizando la información especificada en el archivo wapt-get.ini, específicamente en la sección `verify_cert` del archivo global. Consulta la documentación:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Antes de cambiar el certificado en el lado del servidor, debes asegurarte de que los agentes aceptarán el nuevo certificado.
Nota: Prefiero mucho más usar el fijado; Es más sencillo e igual de seguro.
es: Agregar el nuevo certificado (comercial) al final del certificado previamente fijado (el que está en wapt\ssl\server\myserver.dom.lan.crt).
Luego, generar un nuevo agente para enviar este nuevo paquete de certificados a todas las máquinas.
Una vez que este nuevo paquete se haya enviado a TODOS tus agentes, entonces (y solo entonces) podrás cambiar la clave y el certificado en el lado de Nginx.
El agente WAPT aceptará entonces el nuevo certificado ya que estará en su paquete (si cambias de opinión, también puedes restaurar el anterior; también será aceptado por el agente WAPT).
En general, recuerda que WAPT verificará el certificado HTTPS utilizando la información especificada en el archivo wapt-get.ini, específicamente en la sección `verify_cert` del archivo global. Consulta la documentación:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Antes de cambiar el certificado en el lado del servidor, debes asegurarte de que los agentes aceptarán el nuevo certificado.
Nota: Prefiero mucho más usar el fijado; Es más sencillo e igual de seguro.
