Hola,
mi certificado SSL en mi servidor WAPT está a punto de caducar.
Debido a un cambio de proveedor, el nuevo certificado que obtuve no proviene de la misma autoridad de certificación que el primero (generado hace dos años).
¿Cómo puedo implementar este nuevo certificado en mi servidor sin perder la conexión con mis clientes WAPT?
Actualmente, estoy verificando el certificado del servidor con un paquete de certificados que contiene las CA del antiguo proveedor.
Gracias por su ayuda.
Cambio de autoridad de certificación.
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Qué lástima, no hay respuesta.
Así que me responderé a mí mismo (quizás le sea útil a alguien más).
Mi plan:
voy a intentar implementar un paquete que desactive el anclaje (verify_cert = 1) en los clientes.
Como los certificados no son autofirmados, mantendré el cifrado SSL válido.
Una vez que este cambio se haya propagado a todos los clientes, cambiaré los certificados de mi nueva CA en mi servidor WAPT y verificaré que todo siga comunicándose correctamente.
Saludos,
Así que me responderé a mí mismo (quizás le sea útil a alguien más).
Mi plan:
voy a intentar implementar un paquete que desactive el anclaje (verify_cert = 1) en los clientes.
Como los certificados no son autofirmados, mantendré el cifrado SSL válido.
Una vez que este cambio se haya propagado a todos los clientes, cambiaré los certificados de mi nueva CA en mi servidor WAPT y verificaré que todo siga comunicándose correctamente.
Saludos,
El procedimiento funcionó correctamente; por suerte, tuve una o dos semanas para implementar la nueva configuración en los clientes. De lo contrario, con el anclaje de certificados y el cambio de CA, la pérdida de conexión con todos los clientes habría sido inevitable.
Presta atención al paquete de certificados en nginx :
el paquete de certificados públicos (/opt/wapt/waptserver/ssl/cert.pem) debe incluir, en orden, primero el certificado del servidor, luego los certificados intermedios y, finalmente, el certificado raíz. Mi proveedor (GEANT) los proporcionó en orden inverso.
Mi conclusión personal: no se debe anclar el certificado si se utilizan certificados válidos (no autofirmados).
Presta atención al paquete de certificados en nginx :
el paquete de certificados públicos (/opt/wapt/waptserver/ssl/cert.pem) debe incluir, en orden, primero el certificado del servidor, luego los certificados intermedios y, finalmente, el certificado raíz. Mi proveedor (GEANT) los proporcionó en orden inverso.
Mi conclusión personal: no se debe anclar el certificado si se utilizan certificados válidos (no autofirmados).
