Problema al verificar el certificado del servidor HTTPS en la consola

Comparta sus sugerencias o problemas relacionados con la consola WAPT o el agente WAPT aquí
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Bloqueado
etunilim
Mensajes: 9
Inscripción: 15 de noviembre de 2019 - 11:17

20 de noviembre de 2019 - 16:44

Buen día,

Versión 1.7 de WAPT
Servidor: Debian 10
Consola: Win 10

Actualmente estoy configurando la consola WAPT en mi estación de trabajo de administración, siguiendo la documentación. Todo iba bien hasta que, en la configuración de la consola, marqué la casilla "Verificar certificado de servidor HTTPS".
El certificado se recupera correctamente del servidor y se coloca en wapt/ssl/server/, pero inmediatamente recibo errores SSL que aparecen en rojo en la ventana de configuración:

Código: Seleccionar todo

error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
Probé varias cosas, sin mucho éxito (incluyendo habilitar-verificar-certificado en una ventana de cmd y luego reiniciar el servicio wapt), pero no cambia nada.
Ya ni siquiera puedo iniciar la consola, sigo recibiendo los mismos mensajes de error SSL.

En el servidor, reemplacé los certificados autofirmados por los de mi organización (reemplazando los archivos cert.pem y key.pem en /opt/wapt/waptserver/ssl/). La conexión a la interfaz web del servidor funciona perfectamente.

Si alguien me puede ayudar ya que ahora mismo no veo muy bien el problema.

gracias de antemano
Y.
Alto
etunilim
Mensajes: 9
Inscripción: 15 de noviembre de 2019 - 11:17

20 de noviembre de 2019 - 16:54

D,

Sólo un pequeño punto, si ayuda:

Cuando ejecuto `wapt-get update` en la PC de administración (Windows), aparece el siguiente mensaje de error:

Código: Seleccionar todo

C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(Cambié el nombre del servidor, por supuesto)
Alto
etunilim
Mensajes: 9
Inscripción: 15 de noviembre de 2019 - 11:17

22 de noviembre de 2019 - 11:28

Hola,

tras realizar más pruebas, el error no se produce al marcar la opción "Verificar el certificado HTTPS del servidor". En ese caso, puedo pulsar el botón "Verificar" y todo parece correcto (no se muestra ningún mensaje de error).
El problema surge al pulsar el botón "Recuperar certificado del servidor HTTP":
en ese caso, sí recupera el certificado del servidor (de Program Files (x86)/wapt/ssl/server/), y es el certificado correcto, pero aparecen errores de conexión.
Esto me preocupa seriamente, porque si solo marco la casilla, no aparecen los certificados (no hay nada en Program Files (x86)/wapt/ssl/server/), así que no entiendo bien qué es lo que está verificando (aunque admito que este mecanismo de certificados me resulta bastante confuso y podría estar equivocado). ¿

Podrían proporcionarme información al respecto?

Gracias de antemano
.
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

22 de noviembre de 2019 - 12:44

Hola,

en mi opinión, no has especificado la cadena de certificados completa en el servidor nginx:

https://www.wapt.fr/fr/doc/wapt-securit ... ganization

Para especificar una cadena completa:
echo srvwapt.mydomain.lan.crt ca.crt > cert.pem


Pero como indica la documentación
https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent,

si estás usando un certificado comercial, es más sencillo establecer el valor de verify_cert en 1.

Wapt usará entonces el paquete Python Cerifi (paquete de certificados públicos 139...) para verificar la conexión:
C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem


Ten en cuenta que la configuración del agente "C:\Program Files (x86)\wapt\wapt-get.ini"
es independiente de la configuración de la consola. "%localappdata%\waptconsole\waptconsole.ini"
Alto
etunilim
Mensajes: 9
Inscripción: 15 de noviembre de 2019 - 11:17

22 de noviembre de 2019 - 14:48

Hola,

estos problemas con los certificados no me quedan muy claros.

Para ser más preciso, estoy usando un certificado de Let's Encrypt y el archivo fullchain.pem (el archivo cert.pem no funcionaba correctamente, ni siquiera en la interfaz web del servidor, precisamente por la cadena incompleta).

Se supone que el archivo fullchain.pem proporciona esta cadena completa y, de hecho, resolvió el problema con Firefox.
Este es el archivo que recupera la consola (se renombra automáticamente como myserver.my.domain.crt, pero contiene la misma información que el archivo fullchain.pem).

Los archivos que tengo disponibles con Let's Encrypt son: cert.pem, chain.pem y fullchain.pem (este último contiene el contenido de los otros dos). Aunque los nombres y las extensiones difieren, creo que se corresponde con lo que aparece en la documentación.

Además, el archivo myserver.my.domain.crt generado durante la recuperación del certificado a través de la consola contiene, efectivamente, dos claves: una con el nombre común (CN) de mi servidor y Let's Encrypt Authority X3 como emisor, y la segunda con Let's Encrypt Authority X3 como CN y DST Root CA X3 como emisor.

que estoy completamente perdido.

confieso
Alto
Bloqueado

Volver a "Uso de WAPT (Consola, Agente) / Uso de WAPT (Consola, Agente)"


  • Para ir más allá con WAPT