[RISOLTO] WAPT 2.5.5.15691: Errore TLS con waptdeploy.exe

Domande sul server WAPT / Richieste e assistenza relative al server WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Risposta
TomTomGo
Messaggi: 25
Registrazione: 3 maggio 2017 - 15:36
Ubicazione: La Chapelle-sur-Erdre

25 luglio 2024 - 14:36

Buongiorno,

Server WAPT: Debian 11 aggiornato
Postazione di lavoro client: Windows 11 23H2
Scoperta WAPT 2.5.5.15691

Dopo l'aggiornamento del mio server WAPT da 2.5.5.15640 a 2.5.5.15691 questa mattina, ricevo un messaggio di errore quando provo ad aggiornare l'agente WAPT sulle workstation utilizzando waptdeploy.exe:

Codice: Seleziona tutto

waptdeploy.exe --waptsetupurl=https://srvwapt.mydomain/wapt/waptagent.exe --hash=942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b --minversion=2.5.5.15691 --tasks=autorunTray,installService,installredist2008,!autoUpgradePolicy --wait=15
{"waptsetupurl":"https://srvwapt.mydomain/wapt/waptagent.exe","hash":"942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b","minversion":"2.5.5.15691","tasks":"autorunTray,installService,installredist2008,!autoUpgradePolicy","wait":"15"}
WAPT version: 2.5.5.15640
WAPT required version: 2.5.5.15691
Wapt agent path: C:\Users\toto\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://srvwapt.mydomain/wapt/waptagent.exe
Trying to reach https://srvwapt.mydomain/wapt/waptagent.exe...
Expecting hash sha256: 942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b
Using proxy :
Error trying to get https://srvwapt.mydomain/wapt/waptagent.exe : Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00323D02:
Exception: Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]
  $00323D02
  $00325402
Ho eliminato e rigenerato i certificati SSL Nginx in /opt/wapt/waptserver/ssl/ utilizzando lo script postconf.sh => SAME
Ho anche provato a sostituire l'FQDN del server Wapt con l'indirizzo IP => STESSO RISULTATO (vedi viewtopic.php?p=11185&hilit=%5BENetSock ... led#p11185)
Ho forzato la reinstallazione dei pacchetti tis-waptserver e tis-waptsetup e ho riavviato postconf => STESSO RISULTATO
Sono a corto di idee, qualcun altro ha riscontrato questo problema?

Grazie in anticipo e buona giornata
Ultima modifica da TomTomGo il 29 luglio 2024 alle 15:41, modificato 1 volta.
Alto
TomTomGo
Messaggi: 25
Registrazione: 3 maggio 2017 - 15:36
Ubicazione: La Chapelle-sur-Erdre

25 luglio 2024 - 15:24

Bene, dopo aver consultato il CHANGELOG per la versione 2.5.5.15691, ho visto questo:

[IMP] waptserver: su Linux: usa TLS1.3 per nginx su Linux

Quindi sono tornato a TLS 1.2 in /etc/nginx/sites-enabled/wapt.conf:

Codice: Seleziona tutto

ssl_protocols               TLSv1.2;
Dopo aver riavviato i servizi Nginx, tutto funziona di nuovo :)
Alto
Avatar utente
dcardon
Esperto WAPT
Messaggi: 1908
Registrazione: 18 giugno 2014 - 09:58
Ubicazione: Saint Sébastien sur Loire
Contatto:
Contatta dcardon

25 luglio 2024 - 17:15

Ciao Thomas,

sembra che Windows 11 non abiliti TLS 1.3 per impostazione predefinita (è necessario modificare alcune chiavi di registro).

WAPTAgent utilizza OpenSSL per tutta la crittografia, ma WAPTDeploy, per essere più leggero, si basa sull'implementazione schannel di Windows per evitare di dover includere OpenSSL (il che raddoppierebbe le dimensioni di WAPTDeploy...). Inoltre, la configurazione schannel predefinita su Windows 11 non ha TLS 1.3 abilitato (è necessario impostare una chiave di registro/GPO per questo). Nota: Edge utilizza TLS 1.3 perché si basa sul livello TLS di Chromium e non su quello di Windows, quindi questa informazione è un po' fuorviante. Nota 2: Per ingannare ulteriormente l'ignaro amministratore di sistema, TLS 1.3 è abilitato su Windows 10 da diversi anni, anche se Microsoft afferma il contrario, e non è abilitato su Windows 11, anche se Microsoft afferma il contrario[1]...

Siamo passati a TLS 1.3 per il processo di certificazione CSPN, ma poiché TLS 1.2 è ancora accettato da ANSSI, penso che modificheremo il Target di valutazione per specificare TLS 1.2; sarà più semplice.

Grazie per avercelo segnalato.

Cordiali saluti,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Alto
TomTomGo
Messaggi: 25
Registrazione: 3 maggio 2017 - 15:36
Ubicazione: La Chapelle-sur-Erdre

25 luglio 2024 - 17:31

dcardon ha scritto: 25 lug 2024 - 17:15 Ciao Thomas,

sembra che Windows 11 non abiliti TLS 1.3 per impostazione predefinita (ci sono chiavi di registro che devono essere modificate).

WAPTAgent usa OpenSSL per tutta la crittografia, ma WAPTDeploy, per essere più leggero, si basa sull'implementazione schannel di Windows per evitare di dover includere OpenSSL (che raddoppierebbe le dimensioni di waptdeploy...). E la configurazione schannel predefinita su una macchina Windows 11 non ha TLS 1.3 abilitato (c'è una chiave di registro/GPO che deve essere impostata per questo). Nota: Edge usa TLS 1.3 perché è basato sul livello TLS di Chromium e non su quello di Windows, quindi questo è un po' fuorviante. Nota 2: Per ingannare ulteriormente l'ignaro amministratore di sistema, TLS 1.3 è abilitato su Windows 10 da diversi anni, anche se Microsoft afferma il contrario, e non è abilitato su Windows 11, anche se Microsoft afferma il contrario[1]...

Siamo passati a TLS 1.3 per il processo di certificazione CSPN, ma poiché TLS 1.2 è ancora accettato da ANSSI, penso che modificheremo il Target di valutazione per specificare TLS 1.2; sarà più semplice.

Grazie per avercelo segnalato.

Cordiali saluti,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Ciao Denis,

Grazie per il tuo feedback, hai ragione, non è qualcosa che puoi inventare, ed è sorprendente che Windows 11 non abiliti TLS 1.3 per impostazione predefinita, è bello saperlo...
E la gestione indipendente delle versioni di TLS da parte dei browser non aiuta, ma alla fine ho capito che questo era il problema. Quindi, se ho capito bene, continuerai a usare TLS 1.2 finché sarà ancora validato da ANSSI?

Grazie e buona serata

Tommaso
Alto
Risposta

Torna a "Server WAPT"


  • Per andare oltre con WAPT