Foro de TI tranquilo

Contáctanos
en https://forum.tranquil.it/

[RESUELTO] SSLCertVerificationError después de la actualización de 2.5.5 a 2.6.0

https://forum.tranquil.it/viewtopic.php?t=4125

Página 1 de 1

[RESUELTO] SSLCertVerificationError después de la actualización de 2.5.5 a 2.6.0

Publicado: 4 de diciembre de 2024 - 10:31
por cefinformatique
Servidor WAPT: 2.6.0.16552-49ddf2d3-amd64 (Debian 12)
Consola WAPT: 2.6.0.16552-49ddf2d3 (Debian 12)
Agente WAPT: 2.6.0.16552 (Windows 11 23:20)
Edición: Enterprise

Buen día,

Actualicé mi servidor (y consola) de la versión 2.5.5 a la 2.6.0, pero después de recrear e implementar el agente de Windows, todos mis clientes muestran un error de verificación de certificado:

Código: Seleccionar todo

2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] ERROR Certificate check failed for https://wapt.mondomaine.fr/wapt/Packages and verify_cert True
2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:11,973 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt-host into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:12,129 [wapttasks WaptTaskManager 3356] INFO Running task Installation de avw-adminwin.mondomaine.fr(=6) (t che #10) created by console
HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
Mi autoridad de certificación sigue siendo la misma y se implementa en la tienda de cada cliente de Windows como una autoridad de certificación raíz de confianza.

Intenté una instalación manual del agente 2.6.0 pero el resultado sigue siendo el mismo.

Aquí está el contenido de wapt-get.ini en un cliente de Windows:

Código: Seleccionar todo

[global]
repo_url=https://wapt.mondomaine.fr/wapt
wapt_server=https://wapt.mondomaine.fr
verify_cert=1
use_repo_rules=1
use_kerberos=1
use_fqdn_as_uuid=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
include_dmi_inventory=1
include_wmi_inventory=1
use_hostpackages=1
peercache_enable=0
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0

[waptwua]
enabled=1
default_allow=1
install_delay=3
download_scheduling=12h
install_scheduling=1d
install_at_shutdown=1
direct_download=False
include_potentially_superseded_updates=True

Re: SSLCertVerificationError tras la actualización de 2.5.5 a 2.6.0

Publicado: 4 de diciembre de 2024 - 14:19
por fschelfaut
Hola,

desde la versión 2.6 de WAPT, ya no usamos directamente el almacén de certificados de Windows.
Ahora dependemos del cacert.pem, ubicado en el siguiente directorio:
C:\Archivos de programa (x86)\wapt\lib\site-packages\certifi.

Además, si está utilizando una CA interna, debe especificarla al generar el agente.

Por su parte, debe verificar el /opt/wapt/waptserver/ssl/cert.pem en su servidor WAPT para asegurarse de que contiene la cadena completa.
Esto significa que debe incluir tres secciones distintas que comienzan con:
-----BEGIN CERTIFICATE-----
Si este no es el caso, eso explicaría su problema con el certificado SSL

, Flavien.

Re: SSLCertVerificationError tras la actualización de 2.5.5 a 2.6.0

Publicado: 4 de diciembre de 2024 - 15:18
por cefinformatique
Hola,

de acuerdo, el problema se solucionó agregando mi CA al archivo C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem.

Copiaré este archivo y lo implementaré mediante GPO en todas mis estaciones de trabajo para reconectarlas a WAPT.

¡Gracias! :D

Re: [RESUELTO] SSLCertVerificationError tras la actualización de 2.5.5 a 2.6.0

Publicado: 4 de diciembre de 2024 - 15:54
por fschelfaut
Buen día,

Tenga en cuenta que al modificar este archivo C:\Archivos de programa (x86)\wapt\lib\site-packages\certifi\cacert.pem ¡Debe ser temporal!

Porque con cada nueva versión de WAPT, este archivo puede reescribirse y, por lo tanto, sus cambios pueden eliminarse.

El mejor enfoque sería generar un agente y ponerlo Verificación del certificado del servidor seguro Recuperar el certificado del servidor De esta forma, el agente recuperará la cadena completa del servidor WAPT. Si todos sus agentes ya tienen la última versión, deberá usar un paquete de configuración dinámica.

Repositorio privado -> Generar una plantilla de paquete -> Configuración dinámica del agente
Después Verificación del certificado del servidor seguro Recuperar el certificado del servidor
conf_dynamique_agent.PNG
conf_dynamique_agent.PNG (17,25 KB) Visto 4961 veces
Por su parte, es absolutamente necesario que revise el archivo /opt/wapt/waptserver/ssl/cert.pem en su servidor WAPT que contiene la cadena completa (3 certificados)

Flavien
Zona horaria configurada en UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Software para foros © phpBB Limited

Traducción oficial al francés © Qiaeru