Foro de TI tranquilo

Hola a todos,

Este fin de semana cambié mi DNS y el nombre de dominio SAMBA (aún en modo nt4). Desde entonces, los agentes aparecen como conectados en la consola, pero cuando intento forzar una actualización en uno de ellos, recibo el siguiente mensaje:
El mensaje es claro, hay un problema con la autenticación y el certificado que hace referencia al dominio antiguo.
Encontré una página en la wiki que explica cómo regenerar certificados en caso de robo o pérdida, pero tengo la impresión de que esto concierne al certificado del usuario y no al que usa el servidor para comunicarse con los agentes.

¿Existe un procedimiento específico?

Gracias de antemano.
Felipe.

Hola Philippe,

¿estás usando un certificado autofirmado o un certificado público (Let's Encrypt, etc.)?

Parece que tienes `verify_cert=1` en tu archivo `wapt-get.ini`, y el nombre del servidor en el certificado no coincide con el de la configuración. Puedes solucionarlo temporalmente estableciendo `verify_cert=0` mientras actualizas la configuración del certificado. ¿

Estás usando fijación de certificados? Es decir, ¿tienes `verify_cert=c:\program files (x86)\wapt\ssl\moncertif.crt`?

En un servidor Linux, los certificados HTTPS se almacenan en `/opt/wapt/waptserver/ssl` si quieres actualizarlos para que reflejen el nuevo nombre de tu servidor. Sin embargo, si estás usando fijación, esto no solucionará el problema.

Si esto fue solo una prueba y aún no has implementado en producción, puedes esperar a la próxima versión. En el archivo postconf, hemos integrado la capacidad de crear un subcertificado con el nuevo nombre del servidor en subjectAltName, lo que debería resolver el problema en este caso.

Saludos,

Denis

Buen día,

Gracias por tu respuesta.

¿Está utilizando un certificado autofirmado o un certificado público (Let's Encrypt, etc.)?

Está autofirmado

Parece que tiene `verify_cert=1` en su archivo `wapt-get.ini`, y el nombre del servidor en el certificado no coincide con el de la configuración. Puede solucionar esto temporalmente configurando `verify_cert=0` mientras actualiza la configuración del certificado.

Curiosamente, en `verify_cert` tengo la ruta local del agente al certificado. Para probar, la cambié a 0 y recuperé el control del agente de prueba en la consola.

¿Utilizas la fijación de certificados? Es decir, ¿tienes un archivo verify_cert=c:\program files (x86)\wapt\ssl\moncertif.crt?

Lo supuse, basándome en la respuesta a tu pregunta anterior

En el servidor Linux, los certificados HTTPS se almacenan en /opt/wapt/waptserver/ssl si desea actualizarlos para que reflejen el nuevo nombre del servidor. Sin embargo, si hay anclaje, esto no resolverá el problema.

No tengo una red grande, así que puedo implementar manualmente el nuevo certificado en los agentes. ¿El certificado requiere una configuración específica para WAPT o basta con un certificado estándar?

Si esto fue solo una prueba y aún no ha implementado la versión de producción, puede esperar a la próxima versión. En la configuración posterior, hemos integrado la posibilidad de crear un subcertificado con el nuevo nombre del servidor en subjectAltName, lo que debería resolver el problema en este caso.

Como dicen: "¡Demasiado tarde!"

Hola Philippe,

si tienes Active Directory, puedes reinstalar el agente actualizado con la configuración modificada.

Respecto al certificado HTTPS autofirmado, si eliminas o mueves los certificados a /opt/wapt/waptserver/ssl, se generarán nuevos certificados con el nuevo nombre del servidor. Debes revisar cuidadosamente la salida de `hostname -f` para obtener el FQDN, que debe incluirse en el archivo `wapt-get.ini` de los agentes. Luego, fija el certificado correcto (`wapt-get enable-check-certificate`) o establece `verify_cert=0`.

Saludos,

Denis