[RISOLTO] SSLCertVerificationError dopo l'aggiornamento da 2.5.5 a 2.6.0

Domande sul server WAPT / Richieste e assistenza relative al server WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
cefinformatique
Messaggi: 31
Registrazione: 26 maggio 2023 - 14:25

4 dicembre 2024 - 10:31

Server WAPT: 2.6.0.16552-49ddf2d3-amd64 (Debian 12)
Console WAPT: 2.6.0.16552-49ddf2d3 (Debian 12)
Agente WAPT: 2.6.0.16552 (Windows 11 23:02)
Edizione: Enterprise

Buongiorno,

Ho aggiornato il mio server (e la console) dalla versione 2.5.5 alla 2.6.0, ma dopo aver ricreato e distribuito l'agente Windows, tutti i miei client mostrano un errore di verifica del certificato:

Codice: Seleziona tutto

2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] ERROR Certificate check failed for https://wapt.mondomaine.fr/wapt/Packages and verify_cert True
2024-12-04 10:01:11,942 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:11,973 [waptcore WaptTaskManager 3356] CRITICAL Error merging Packages from wapt-host into db: HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
2024-12-04 10:01:12,129 [wapttasks WaptTaskManager 3356] INFO Running task Installation de avw-adminwin.mondomaine.fr(=6) (t che #10) created by console
HTTPSConnectionPool(host='wapt.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/avw-adminwin.mondomaine.fr.wapt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1147)')))
La mia autorità di certificazione rimane la stessa e viene distribuita nell'archivio di ciascun client Windows come autorità di certificazione radice attendibile.

Ho provato a installare manualmente l'agente 2.6.0 ma il risultato è rimasto lo stesso.

Ecco il contenuto di wapt-get.ini su un client Windows:

Codice: Seleziona tutto

[global]
repo_url=https://wapt.mondomaine.fr/wapt
wapt_server=https://wapt.mondomaine.fr
verify_cert=1
use_repo_rules=1
use_kerberos=1
use_fqdn_as_uuid=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
include_dmi_inventory=1
include_wmi_inventory=1
use_hostpackages=1
peercache_enable=0
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0

[waptwua]
enabled=1
default_allow=1
install_delay=3
download_scheduling=12h
install_scheduling=1d
install_at_shutdown=1
direct_download=False
include_potentially_superseded_updates=True
Ultima modifica di cefinformatique il 4 dicembre 2024 alle 15:18, modificato 1 volta.
Alto
fschelfaut
Messaggi: 28
Registrazione: 7 nov 2024 - 12:22

4 dicembre 2024 - 14:19

Ciao,

dalla versione 2.6 di WAPT non utilizziamo più direttamente l'archivio certificati di Windows.
Ora ci affidiamo al cacert.pem, che si trova nella seguente directory:
C:\Program Files (x86)\wapt\lib\site-packages\certifi.

Inoltre, se utilizzi un'autorità di certificazione (CA) interna, devi specificarla durante la generazione dell'agente.

Da parte tua, devi verificare il /opt/wapt/waptserver/ssl/cert.pem sul tuo server WAPT per assicurarti che contenga la catena completa.
Ciò significa che deve includere tre sezioni distinte che iniziano con:
-----BEGIN CERTIFICATE-----
Se questo non è il caso, spiegherebbe il tuo problema con il certificato SSL

, Flavien.
Alto
cefinformatique
Messaggi: 31
Registrazione: 26 maggio 2023 - 14:25

4 dicembre 2024 - 15:18

Ciao,

OK, il problema è stato risolto aggiungendo la mia CA al file C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem.

Copierò questo file e lo distribuirò tramite GPO a tutte le mie workstation per riconnetterle a WAPT.

Grazie! :D
Alto
fschelfaut
Messaggi: 28
Registrazione: 7 nov 2024 - 12:22

4 dicembre 2024 - 15:54

Buongiorno,

Nota che la modifica di questo file C:\Programmi (x86)\wapt\lib\site-packages\certifi\cacert.pem deve essere temporaneo!

Poiché con ogni nuova versione di WAPT, questo file può essere riscritto e quindi le modifiche possono essere eliminate.

L'approccio migliore sarebbe quello di generare un agente e metterlo Verifica del certificato del server SU Recupera il certificato dal server In questo modo, l'agente recupererà l'intera catena dal server WAPT. Se tutti gli agenti sono già aggiornati alla versione più recente, è necessario utilizzare un pacchetto di configurazione dinamica.

Repository privato -> Genera un modello di pacchetto -> Configurazione agente dinamico
Dopo Verifica del certificato del server SU Recupera il certificato dal server
conf_dynamique_agent.PNG
conf_dynamique_agent.PNG (17,25 KB) Visualizzato 4944 volte
Da parte tua, devi assolutamente controllare il file /opt/wapt/waptserver/ssl/cert.pem sul tuo server WAPT che contiene la catena completa (3 certificati)

Flavien
Alto
Bloccato

Torna a "Server WAPT"


  • Per andare oltre con WAPT