[RISOLTO] Cambio nome dominio

Domande sul server WAPT / Richieste e assistenza relative al server WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
capovolgimento
Messaggi: 56
Registrazione: 31 maggio 2022 - 09:05

27 marzo 2024 - 11:27

Ciao a tutti,

Questo fine settimana ho cambiato il mio DNS e il nome di dominio SAMBA (ancora in modalità NT4). Da allora, gli agenti sono visibili come connessi nella console, ma quando provo a forzare un aggiornamento su uno di essi, ricevo il seguente messaggio:

Codice: Seleziona tutto

C:\Program Files (x86)\wapt>wapt-get update
2024-03-27 11:22:21,305 ERROR Certificate check failed for https://svwapt.nouveaudom/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\svwapt.anciendom.crt
2024-03-27 11:22:21,305 CRITICAL Error merging Packages from wapt into db: None: None
2024-03-27 11:22:21,336 CRITICAL Error merging Packages from wapt-host into db:None : None
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://svwapt.nouveaudom/wapt, https://svwapt.nouveaudom/wapt-host
Total packages : 120
Added packages :

Removed packages :

Discarded packages count : 0
Pending operations :
  install:
  upgrade:
  additional:
  remove:
  immediate_installs:
Repositories URL :
  wapt
  wapt-host

C:\Program Files (x86)\wapt>
Il messaggio è chiaro: c'è un problema con l'autenticazione e con il certificato che fa riferimento al vecchio dominio.
Ho trovato una pagina sul wiki che spiega come rigenerare i certificati in caso di furto o smarrimento, ma ho l'impressione che questo riguardi il certificato utente e non quello utilizzato dal server per comunicare con gli agenti.

Esiste una procedura specifica?

Grazie in anticipo.
Filippo.
Alto
Avatar utente
dcardon
Esperto WAPT
Messaggi: 1908
Registrazione: 18 giugno 2014 - 09:58
Ubicazione: Saint Sébastien sur Loire
Contatto:
Contatta dcardon

28 marzo 2024 - 18:38

Ciao Philippe,

stai usando un certificato autofirmato o un certificato pubblico (Let's Encrypt, ecc.)?

Sembra che tu abbia `verify_cert=1` nel tuo file `wapt-get.ini` e che il nome del server nel certificato non corrisponda a quello nella configurazione. Puoi risolvere temporaneamente questo problema impostando `verify_cert=0` mentre aggiorni le impostazioni del certificato.

Stai usando il pinning del certificato? Ovvero, hai `verify_cert=c:\program files (x86)\wapt\ssl\moncertif.crt`?

Su un server Linux, i certificati HTTPS sono memorizzati in `/opt/wapt/waptserver/ssl` se vuoi aggiornarli per riflettere il tuo nuovo nome del server. Tuttavia, se stai usando il pinning, questo non risolverà il problema.

Se si trattava solo di un test e non hai ancora effettuato il deployment in produzione, puoi aspettare la prossima versione. Nel file postconf, abbiamo integrato la possibilità di creare un sottocertificato con il nuovo nome del server nel campo subjectAltName, il che dovrebbe risolvere il problema in questo caso.

Cordiali saluti,

Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Alto
capovolgimento
Messaggi: 56
Registrazione: 31 maggio 2022 - 09:05

29 marzo 2024 - 09:29

Buongiorno,

Grazie per la risposta.
Stai utilizzando un certificato autofirmato o un certificato pubblico (Let's Encrypt, ecc.)?
È autofirmato
Sembra che nel file `wapt-get.ini` sia presente `verify_cert=1` e che il nome del server nel certificato non corrisponda a quello nella configurazione. Puoi risolvere temporaneamente il problema impostando `verify_cert=0` durante l'aggiornamento delle impostazioni del certificato.
Stranamente, in `verify_cert` ho il percorso locale dell'agente al certificato. Per testarlo, l'ho impostato su 0 e ho ripreso il controllo dell'agente di test nella console.
Stai utilizzando il pinning del certificato? Cioè, hai un file verify_cert=c:\program files (x86)\wapt\ssl\moncertif.crt?
Lo supponevo, in base alla risposta alla tua domanda precedente ;)
Sul server Linux, i certificati HTTPS sono archiviati in /opt/wapt/waptserver/ssl, se si desidera aggiornarli in modo che riflettano il nuovo nome del server. Tuttavia, se è presente il pinning, il problema non verrà risolto.
Non ho una rete di grandi dimensioni, quindi posso distribuire manualmente il nuovo certificato agli agenti. Il certificato richiede una configurazione specifica per WAPT o è sufficiente un certificato standard?
Se si trattava solo di un test e non hai ancora eseguito la distribuzione in produzione, puoi attendere la prossima release. Nel postconf, abbiamo integrato la possibilità di creare un sottocertificato con il nuovo nome del server nel subjectAltName, il che dovrebbe risolvere il problema in questo caso.
Come si dice: "Troppo tardi!" ;)
Alto
Avatar utente
dcardon
Esperto WAPT
Messaggi: 1908
Registrazione: 18 giugno 2014 - 09:58
Ubicazione: Saint Sébastien sur Loire
Contatto:
Contatta dcardon

29 marzo 2024 - 10:39

Ciao Philippe,

se hai Active Directory, puoi ripristinare l'agente aggiornato con le impostazioni modificate.

Per quanto riguarda il certificato HTTPS autofirmato, se elimini/sposti i certificati in /opt/wapt/waptserver/ssl, verranno generati nuovi certificati utilizzando il nuovo nome del server. Devi controllare attentamente l'output di `hostname -f` per ottenere il FQDN, che deve essere incluso nel file `wapt-get.ini` sugli agenti. Quindi, blocca il certificato corretto (`wapt-get enable-check-certificate`) oppure imposta `verify_cert=0`.

Cordiali saluti,

Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Alto
Bloccato

Torna a "Server WAPT"


  • Per andare oltre con WAPT