Página 1 de 1
[RESUELTO] Problema con el certificado HTTPS
Publicado: 27 de octubre de 2022 - 16:46
por Stenon
Buen día,
Cuando configuro el servidor con un certificado externo en nginx y lo recargo (reload nginx), la página web aparece correctamente como HTTPS
Así que yo estaba feliz.
Ahora me aparece un error cuando intento implementar usando waptdeploy.exe y el hash y el waptagent... hay un error al descargar este waptagent
Código: Seleccionar todo
C:\Users\wapttestuser\Downloads>waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12463 --wait=15 --waptsetupurl=https://waptserver/wapt/waptagent.exe
{"hash":"02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a","minversion":"2.2.3.12463","wait":"15","waptsetupurl":"https://waptserver/wapt/waptagent.exe"}
WAPT version:
WAPT required version: 2.2.3.12463
Wapt agent path: C:\Users\samuel.adm\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://waptserver/wapt/waptagent.exe
Trying to reach https://waptserver/wapt/waptagent.exe...
Expecting hash sha256: 02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a
Using proxy :
Error trying to get https://waptserver/wapt/waptagent.exe : Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00403958:
Exception: Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']
$00403958
$00404D73
Cuando vuelvo a ingresar el certificado autofirmado desde la instalación en nginx... funciona nuevamente, pero el HTTPS no es compatible
PD: Intenté recrear mi paquete waptagent con un nuevo hash... pero ese no es el problema... Sé que es mi configuración
y finalmente
https://waptserver/wapt/waptagent.exe es adecuadamente accesible
Gracias de antemano !
Samuel
Re: Problema con el certificado para HTTPS
Publicado: 31 de octubre de 2022 - 11:57 a. m.
por sfonteneau
¿El problema es solo con waptdeploy?
Re: Problema con el certificado para HTTPS
Publicado: 2 de noviembre de 2022 - 9:50 a. m.
por Stenon
Al parecer si.
Había configurado la GPO y la había probado en una máquina, y funcionó... pero al instalar el certificado (válido para nuestro sitio), la GPO dejó de funcionar, así que intenté ejecutar el comando manualmente, encontrando los errores mencionados en la publicación anterior. Al revertir al certificado antiguo (autofirmado), el comando se ejecuta correctamente y el agente se implementa en la máquina de prueba.
¿Hay algún paso que me perdí al instalar/copiar mi certificado en el servidor Debian?
Algunos detalles: /etc/nginx/site-enabled/wapt.conf
Código: Seleccionar todo
server {
listen 80;
listen [::]:80;
server_name _;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name _;
#server_name wapt.site.fr;
# BACKUP certificat installation WAPT => autosigné
#ssl_certificate "/opt/wapt/waptserver/ssl/cert.pem";
#ssl_certificate_key "/opt/wapt/waptserver/ssl/key.pem";
# Certificat site.fr => pour notre site ici
ssl_certificate "/opt/wapt/waptserver/ssl/cert+CA-site.fr.pem";
ssl_certificate_key "/opt/wapt/waptserver/ssl/wildcard-site.fr.pem";
ssl_protocols TLSv1.2;
ssl_dhparam "/etc/ssl/certs/dhparam.pem";
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_stapling on;
ssl_stapling_verify on;
ssl_session_cache none;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
#ssl_client_certificate "/opt/wapt/conf/ca-wapt.site.fr.crt";
#ssl_crl "None";
#ssl_verify_client optional;
gzip_min_length 1000;
gzip_buffers 4 8k;
gzip_http_version 1.0;
gzip_disable "msie6";
gzip_types text/plain text/css application/json;
gzip_vary on;
index index.html;
client_max_body_size 12288m;
client_body_timeout 1800;
# sub instances
include /opt/wapt/conf/wapt.d/*.conf;
location /static {
alias "/opt/wapt/waptserver/static";
}
location /ssl {
alias "/var/www/ssl";
}
# not protected URL
location ~ ^/(wapt/waptsetup.*.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json|rules.json|licences.json)$ {
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
root "/var/www";
}
# not protected URL
location /wads {
alias "/var/www/wads";
}
# SSL protected URL
location ~ ^/(wapt/.*|waptwua/.*|wapt-diff-repos/.*)$ {
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
# be sure these headers are not forwarded
proxy_set_header X-Ssl-Client-Dn "";
proxy_set_header X-Ssl-Authenticated "";
root "/var/www";
}
# we don't want to expose our list of computers in case someone scan this folder.
location /wapt-host/Packages {
return 403;
}
location ~ ^/(wapt-host/.*)$ {
log_not_found off;
add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
add_header Pragma "no-cache";
proxy_set_header X-Ssl-Client-Dn "";
proxy_set_header X-Ssl-Authenticated "";
root "/var/www";
}
location ~ ^/.*_kerberos$ {
return 403;
}
location / {
add_header X-Remote-IP $remote_addr;
proxy_http_version 1.1;
proxy_request_buffering off;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
location /socket.io {
proxy_http_version 1.1;
proxy_request_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_pass http://127.0.0.1:8080/socket.io;
}
}
¡MUCHAS GRACIAS!
Re: Problema con el certificado para HTTPS
Publicado: 3 de noviembre de 2022 - 16:28
por Stenon
Estamos haciendo un pequeño progreso...
Si cambio mi llamada waptdeploy de esta manera:
Código: Seleccionar todo
waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://wapt.monsite.fr/wapt/waptagent.exe
Me aparece el error anterior (TLS fallido)
Si lo cambio a él
Dirección IP Eso funciona:
Código: Seleccionar todo
waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://[b]192.168.x.x[/b]/wapt/waptagent.exe
Pero la configuración de DNS en la máquina cliente está bien... ping -a 192.168.xx y ping wapt.monsite.fr
¿Alguna idea?
Muchas gracias
Re: Problema con el certificado para HTTPS
Publicado: 8 de noviembre de 2022 - 16:20
por dcardon
Hola Stenon,
el problema más común es que la cadena está incompleta en el archivo /opt/wapt/waptserver/ssl/cert+CA-site.fr.pem. Por favor, verifica que tengas los certificados intermedios.
Saludos,
Denis
Re: Problema con el certificado para HTTPS
Publicado: 10 de noviembre de 2022 - 09:59
por Stenon
Hola,
sí, parece que falta el FQDN en mi certificado porque estoy usando un certificado comodín. Leí la publicación del 27 de enero de 2022 y es el mismo error.
Como tengo que usar mi certificado comodín, implementaré el agente a través de la dirección IP en mi GPO... y funciona correctamente.
Gracias por su ayuda
Saludos cordiales,
Samuel
Re: Problema con el certificado para HTTPS
Publicado: 10 de noviembre de 2022 - 10:11 a. m.
por dcardon
Hola Samuel,
gracias por tus comentarios. He abierto un ticket interno para este problema. Mientras tanto, marco el tema como resuelto.
Saludos cordiales,
Denis