Foro de TI tranquilo

Hola,

seguí su documentación sobre el reemplazo del certificado SSL del servidor:

https://www.wapt.fr/fr/doc/waptserver-i ... icate.html.

Pero ahora mis estaciones de trabajo ya no descargan actualizaciones. Tengo que volver a ellas para reemplazar la clave pública en C:\Program Files (x86)\wapt\ssl\server. Tendré que crear una GPO para solucionar esto.

¿Necesito generar una nueva versión del agente después de esta actualización?

Comencé esta modificación sin mucha precaución y ahora es un desastre. ¿Cómo prevén realizar este tipo de mantenimiento para evitar que se interrumpa la conexión entre el servidor y los agentes?

Hola Toma,

toma escribió: ↑28 de junio de 2019 - 14:57 Seguí su documentación sobre el reemplazo del certificado SSL del servidor.

https://www.wapt.fr/fr/doc/waptserver-i ... icate.html

Pero ahora mis estaciones de trabajo ya no descargan las actualizaciones. Tengo que volver a ellas para reemplazar la clave pública en C:\Program Files (x86)\wapt\ssl\server. Tendré que crear una GPO para solucionar esto.

¿Necesito generar una nueva versión del agente después de esta actualización?

Comencé esta modificación un poco descuidadamente y, al final, es un desastre. ¿Cómo prevé usted este tipo de tarea de mantenimiento para evitar que se rompa la conexión entre el servidor y los agentes?

Si tenía un certificado autofirmado y solicitó la verificación del certificado al crear el agente, la única forma de realizar la verificación es mediante una fijación de certificado... De ahí el comportamiento que está observando (consulte las páginas de explicación del concepto WAPT en la documentación).

La fijación de certificados se realiza durante la generación del agente, por lo que debe actualizarse. Si tiene una GPO waptdeploy, deberá agregar la opción --force si la versión del agente no se ha incrementado.

La documentación que seguiste es para la configuración inicial (se encuentra en la sección "Instalación"). Veré cómo formalizar esto en la documentación de mantenimiento.

Atentamente,

Denis

Lo que deberías haber hecho en tu caso

es: Agregar el nuevo certificado (comercial) al final del certificado previamente fijado (el que está en wapt\ssl\server\myserver.dom.lan.crt).
Luego, generar un nuevo agente para enviar este nuevo paquete de certificados a todas las máquinas.

Una vez que este nuevo paquete se haya enviado a TODOS tus agentes, entonces (y solo entonces) podrás cambiar la clave y el certificado en el lado de Nginx.

El agente WAPT aceptará entonces el nuevo certificado ya que estará en su paquete (si cambias de opinión, también puedes restaurar el anterior; también será aceptado por el agente WAPT).

En general, recuerda que WAPT verificará el certificado HTTPS utilizando la información especificada en el archivo wapt-get.ini, específicamente en la sección `verify_cert` del archivo global. Consulta la documentación:

https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.

Antes de cambiar el certificado en el lado del servidor, debes asegurarte de que los agentes aceptarán el nuevo certificado.

Nota: Prefiero mucho más usar el fijado; Es más sencillo e igual de seguro.