Foro de TI tranquilo

Contáctanos
en https://forum.tranquil.it/

¿Problema con HTTPS? No se reconoce el PC

https://forum.tranquil.it/viewtopic.php?t=1331

Página 1 de 1

¿Problema con HTTPS? No se reconoce el PC

Publicado: 5 de julio de 2018 - 14:17
por jojo57
Hola,

estoy implementando el agente WAPT usando waptdeploy, con un script de inicio de sesión y una GPO.

Funciona perfectamente para la mayoría de las PC, pero para unas diez (de aproximadamente 80) falla la instalación.
Debo aclarar que la GPO es efectivamente una GPO de equipo (por lo tanto, con derechos de administrador) y que el script de inicio de sesión usa un script de AutoIt que también le otorga derechos de administrador local (esto funcionó perfectamente con WAPT 1.3 y por lo tanto aquí para la gran mayoría con WAPT 1.5).
Este es el error: (He reemplazado mi dominio con xxxx)
-----------------------------------------------------------------------------------------------
Versión requerida de WAPT: force
Ruta del agente Wapt: C:\Windows\TEMP\waptagent.exe
Wget nuevo waptagent desde https://wapt2.xxxx.local/wapt/waptagent.exe
Intentando acceder a https://wapt2.xxxx.local/wapt/waptagent.exe...
Accesible, descargando...
Hecho.
Limpieza...
Se produjo una excepción no controlada en $00416608:
EFOpenError: No se puede abrir el archivo "C:\Windows\TEMP\waptagent.exe"
$00416608
$004164B0
$00440216
$004047C9
-----------------------------------------------------------------------------------------------
El script de inicio de sesión (como administrador)

\\Server\NETLOGON\waptdeploy.exe --hash=my_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=https://wapt2.xxxx.local/wapt/waptagent.exe
-----------------------------------------------------------------------------------------------

Después de investigar bastante, noté que si ingreso la dirección como http y no como https para wapturl, funciona.
Y esto corresponde al error: No se puede abrir el archivo "C:\Windows\TEMP\waptagent.exe".
Al parecer, Waptdeploy no pudo descargar Waptagent del servidor Wapt a través de HTTPS.

Sospecho que falta un certificado en algunos equipos, pero no he implementado ninguno específico. ¿Debería hacerlo (mediante GPO)? Si es así, ¿qué certificado y dónde? ¿Por qué funciona en la mayoría de los equipos pero no en algunos?

Este problema es muy molesto y preferiría no seguir usando HTTP, ya que podría no funcionar en una futura versión de Wapt (y no estoy seguro de que funcione en todos los equipos a través de HTTP; estoy haciendo pruebas...).

Gracias.

Re: ¿Problema con HTTPS? No se reconoce el PC

Publicado: 5 de julio de 2018 - 17:36
por dcardon
Hola jojo57,
jojo57 escribió: 5 de julio de 2018 - 14:17 Hola,

estoy implementando el agente WAPT con waptdeploy, usando tanto un script de inicio de sesión como una GPO.

Funciona perfectamente para la mayoría de las PC, pero para unas diez (de aproximadamente 80) falla la instalación.
Quiero aclarar que la GPO es efectivamente una GPO de equipo (por lo tanto, con derechos de administrador) y que el inicio de sesión pasa por un script de AutoIt que también le otorga derechos de administrador local (esto funcionó perfectamente con WAPT 1.3 y por lo tanto aquí para la gran mayoría con WAPT 1.5).
Aquí está el error: (reemplacé mi dominio con xxxx)
-----------------------------------------------------------------------------------------------
Versión requerida de WAPT: force
Ruta del agente de Wapt: C:\Windows\TEMP\waptagent.exe
Wget nuevo waptagent desde https://wapt2.xxxx.local/wapt/waptagent.exe
Intentando acceder a https://wapt2.xxxx.local/wapt/waptagent.exe...
Accesible, descargando...
Hecho.
Limpieza...
Se produjo una excepción no controlada en $00416608:
EFOpenError: No se puede abrir el archivo "C:\Windows\TEMP\waptagent.exe"
$00416608
$004164B0
$00440216
$004047C9
-----------------------------------------------------------------------------------------------
El script de inicio de sesión (como administrador)

\\Server\NETLOGON\waptdeploy.exe --hash=my_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=https://wapt2.xxxx.local/wapt/waptagent.exe
-----------------------------------------------------------------------------------------------

Después de investigar bastante, noté que si ingreso la dirección como http y no como https para wapturl, funciona.
Y esto corresponde al error: No se puede abrir el archivo "C:\Windows\TEMP\waptagent.exe".
Al parecer, Waptdeploy no pudo descargar Waptagent del servidor Wapt a través de HTTPS.

Sospecho que falta un certificado en algunos equipos, pero no he implementado ninguno específico. ¿Debería hacerlo (mediante GPO)? Si es así, ¿qué certificado y dónde? ¿Por qué funciona en la mayoría de los equipos pero no en algunos?

Este problema es muy molesto y preferiría no seguir usando HTTP, ya que podría no funcionar en una futura versión de Wapt (y no estoy seguro de que funcione en todos los equipos a través de HTTP; estoy haciendo pruebas...).

Gracias.
Según los registros, el proceso de descarga no parece causar problemas. ¿Comprobaste si tu antivirus eliminó el archivo antes de ejecutarlo?

Atentamente,

Denis

Re: ¿Problema con HTTPS? No se reconoce el PC

Publicado: 6 de julio de 2018 - 9:51 a. m.
por jojo57
Hola,

sí, revisé y el antivirus no borró nada. Además, si lo hubiera hecho, creo que también habría borrado el archivo descargado vía HTTP. Y tenemos el mismo antivirus (corporativo, con un agente) en todas las estaciones de trabajo, entonces ¿por qué algunas y otras no? Supongo que es un problema de certificado, pero no veo dónde.
Sin embargo, migré de WAPT 1.3 a WAPT 1.5 (instalé un servidor completamente nuevo en WAPT 1.5, con un nuevo prefijo), y esa podría ser la causa. En WAPT 1.3, la carpeta WAPT estaba directamente en C:, y ahora está en Archivos de programa (x86). Eso también podría ser una pista. Desde que cambié a HTTP (hace 2 días), 12 PC se han registrado correctamente en la consola de WAPT. Pero preferiría solucionar este problema porque todavía podría haber algunas PC que no se registran (¿o no se registrarán con una versión futura?).

Re: ¿Problema con HTTPS? No se reconoce el PC

Publicado: 6 de julio de 2018 - 11:47 a. m.
por jojo57
Acabo de probarlo en mi máquina con
`wapt-get enable-check-certificate`

y la respuesta es esta:

Certificado del servidor: C:\wapt\ssl\server\wapt2.xxxx.local.crt
ERROR FATAL: Excepción: El nombre común del certificado (wapt2.xxxx.local) no
coincide con el nombre de host del servidor (wapt2.xxxx.local), abortando.

Sin embargo, mi consola funciona correctamente y los PC se conectan.
PERO, como mencioné antes, algunos PC tienen Wapt instalado en c:\wapt (desde la versión 1.3) y otros (más recientes) en c:\program files(x86\wapt). ¿Alguna relación?

Personalmente, tuve que mantenerlo en c:\wapt porque de lo contrario fallaba la compilación del paquete.
En resumen, mi certificado parece válido, pero hay un problema.
No puedo reinstalar todo en todos los PC.

Gracias

Re: ¿Problema con HTTPS? No se reconoce el PC

Publicado: 6 de julio de 2018 - 18:29
por sfonteneau
Me parece que waptdeploy utiliza la API de Windows para la descarga.

Si el servidor wapt está configurado con un certificado autofirmado, Windows debería reconocerlo.

De lo contrario, debe agregar "--waptsetupurl=http://wapt2.xxxx.local/wapt/waptagent.exe"

para especificar que desea descargarlo a través de HTTP.

PD: No hay riesgo al descargar a través de HTTP porque waptdeploy requiere un hash.

Otro punto: parece que por defecto, waptdeploy descarga a través de HTTP a menos que ya haya un servidor wapt instalado. En ese caso, wapt utilizará la URL de wapt-get.ini, que es una URL HTTPS. ;)

Generalmente, es preferible agregar --waptsetupurl=
Zona horaria configurada en UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Software para foros © phpBB Limited

Traducción oficial al francés © Qiaeru