[RISOLTO] SSL sul repository secondario WAPTHttpServer

[sterobo]

Buongiorno,

Non riesco a far funzionare un repository secondario tramite HTTPS con WAPTHttpServer (Windows, wapt 2.6.1.17472)
La mia configurazione utilizza una CA specificata in "verify_cert", che firma il server principale (tutto funziona correttamente per esso, ma probabilmente non utilizza WAPTHttpServer)
Il certificato del repository secondario utilizza la stessa CA, il repository secondario sembra essere accessibile tramite HTTPS (tutto funziona correttamente tramite browser, la CA è la stessa configurata in verify_cert), ma ricevo il seguente errore quando eseguo wapt-get update:

Codice: Seleziona tutto

ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))

La regola di invio sembra corretta (ha funzionato tramite HTTP e il server era accessibile)
I log wapt, sul lato del repository secondario, mostrano l'accesso durante i test con un browser (access443.log), ma il file error443.log rimane ostinatamente vuoto...
Ho letto i post e la documentazione che affrontano questi argomenti, ma sono un po' bloccato...

[sfontenau]

Salve

, per capire bene, avete creato un certificato dedicato per il repository secondario dalla vostra CA?

Avete poi modificato la configurazione di wapthttpserver per includere questa nuova coppia di certificati?

Il certificato per il repository secondario è la catena completa?

[sterobo]

Salve, grazie per la risposta.
La risposta alle prime due domande è sì, ma devo verificare l'intera catena, anche se non credo sia così. Approfondirò la questione.

[sfontenau]

È inoltre necessario verificare che nel file wapt-get.ini

, il parametro verify_cert punti correttamente alla CA radice o alla CA inter-server, e non al certificato del server finale.

[sterobo]

Grazie per le risposte.
Ho controllato wapt-get.ini, ma sembra che l'errore persista anche con la fullchain.

L'accesso tramite browser o persino tramite console (se imposto il repository secondario come primario) è visibile in access443.log, ma non c'è ancora nulla in error443.log e wapt-get update continua a fallire.

[sfontenau]

Cosa restituisce il seguente comando:

wapt-get update --force -ldebug?

[sterobo]

Lo stesso errore si verifica più volte:

Codice: Seleziona tutto

...
2026-02-02 10:59:39,319 DEBUG Checking availability of https://<fqdn dépôt secondaire>/wapt/Packages
2026-02-02 10:59:39,319 DEBUG Starting new HTTPS connection (1): <fqdn dépôt secondaire>:443
2026-02-02 10:59:39,319 ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
2026-02-02 10:59:39,319 CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
...

Ma ciò che mi incuriosisce è che non c'è nulla in error443.log, come se la connessione non fosse stata nemmeno tentata da wapt-get.

[sfontenau]

Non vedrai nulla sul lato del repository secondario perché è l'agente che rifiuta la connessione https perché considera il bundle non valido.

Puoi provarlo in Python puro:

Codice: Seleziona tutto

C:\Windows\System32>wapt-get shell
Python 3.11.14 (main, Dec 18 2025, 13:46:39) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
(InteractiveConsole)
>>> import requests
>>> requests.get('https://reposecondaire.mydomain.lan',verify=r'C:\Program Files (x86)\wapt\ssl\server\ca.crt').content

Ma lui dovrebbe rispondere:

Codice: Seleziona tutto

[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)

Se funziona con il tuo browser, allora manca l'intera catena sul lato server (manca la parte intermedia)
Oppure il percorso: C:\Program Files (x86)\wapt\ssl\server\ca.crt non punta alla CA ma a un certificato finale (pinning)

Hai riavviato correttamente il server HTTP del repository secondario dopo aver inserito la fullchain nel repository secondario?

[sterobo]

Ok, grazie! (Non conoscevo wapt-get shell .)
Nessun pinning e il servizio è stato riavviato, ma ho controllato la catena completa e sembrava esserci stata un'inversione dell'ordine dei certificati (avevo recuperato la catena completa del browser). Ora funziona! Grazie mille per l'aiuto!

Modifica: In realtà no, non c'è stata nessuna inversione, semplicemente non c'era più alcun errore perché non era più accessibile e stava passando al fallback...

[sfontenau]

Funziona con il comando curl?

Codice: Seleziona tutto

curl https://reposecondaire.mydomain.lan --cacert "C:\Program Files (x86)\wapt\ssl\server\ca.crt"