Salve,
ho seguito la vostra documentazione relativa alla sostituzione del certificato SSL del server (
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html).
Ora però le mie workstation non scaricano più gli aggiornamenti. Devo intervenire manualmente per sostituire la chiave pubblica in C:\Program Files (x86)\wapt\ssl\server. Dovrò creare un GPO per risolvere il problema.
Devo generare una nuova versione dell'agente dopo questo aggiornamento?
Ho iniziato questa modifica con un po' di imprudenza e ora è un disastro. Come pensate di gestire questo tipo di manutenzione per evitare di interrompere la connessione tra il server e gli agenti?
[RISOLTO] Modifica del certificato SSL
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao Toma,
Il pinning del certificato avviene durante la generazione dell'agente, quindi è necessario aggiornarlo. Se si dispone di un GPO waptdeploy, sarà necessario aggiungere l'opzione --force se la versione dell'agente non è stata incrementata.
La documentazione che hai seguito riguarda la configurazione iniziale (si trova nella sezione "installazione"). Cercherò di formalizzarla nella documentazione di manutenzione.
Sinceramente,
Denis
Se si dispone di un certificato autofirmato e si è richiesta la verifica del certificato durante la creazione dell'agente, l'unico modo per eseguire la verifica è eseguendo un pinning del certificato... Da qui il comportamento osservato (vedere le pagine di spiegazione del concetto WAPT nella documentazione).Toma ha scritto: ↑28 giugno 2019 - 14:57 Ho seguito la vostra documentazione relativa alla sostituzione del certificato SSL del server.
https://www.wapt.fr/fr/doc/waptserver-i ... icate.html
Ma ora le mie workstation non scaricano più gli aggiornamenti. Devo tornare indietro per sostituire la chiave pubblica in C:\Program Files (x86)\wapt\ssl\server. Dovrò creare un GPO per risolvere questo problema.
Devo generare una nuova versione dell'agente dopo questo aggiornamento?
Ho iniziato questa modifica un po' imprudentemente e alla fine è un disastro. Come pensate di gestire questo tipo di attività di manutenzione per evitare di interrompere la connessione tra il server e gli agenti?
Il pinning del certificato avviene durante la generazione dell'agente, quindi è necessario aggiornarlo. Se si dispone di un GPO waptdeploy, sarà necessario aggiungere l'opzione --force se la versione dell'agente non è stata incrementata.
La documentazione che hai seguito riguarda la configurazione iniziale (si trova nella sezione "installazione"). Cercherò di formalizzarla nella documentazione di manutenzione.
Sinceramente,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Quello che avresti dovuto fare nel tuo caso
è: aggiungere il nuovo certificato (commerciale) alla fine del certificato precedentemente bloccato (quello in wapt\ssl\server\myserver.dom.lan.crt).
Quindi generare un nuovo agente per distribuire questo nuovo bundle di certificati a tutte le macchine.
Una volta che questo nuovo bundle è stato distribuito a TUTTI i tuoi agenti, allora (e solo allora) puoi modificare la chiave e il certificato sul lato Nginx.
L'agente WAPT accetterà quindi il nuovo certificato poiché sarà nel suo bundle (se cambi idea, puoi anche ripristinare quello vecchio; verrà comunque accettato dall'agente WAPT).
In generale, ricorda che WAPT verificherà il certificato HTTPS utilizzando le informazioni specificate nel file wapt-get.ini, in particolare nella sezione `verify_cert` del file globale. Consulta la documentazione:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Prima di modificare il certificato sul lato server, devi assicurarti che gli agenti accettino il nuovo certificato.
Nota: preferisco di gran lunga usare il blocco; È più semplice e altrettanto sicuro.
è: aggiungere il nuovo certificato (commerciale) alla fine del certificato precedentemente bloccato (quello in wapt\ssl\server\myserver.dom.lan.crt).
Quindi generare un nuovo agente per distribuire questo nuovo bundle di certificati a tutte le macchine.
Una volta che questo nuovo bundle è stato distribuito a TUTTI i tuoi agenti, allora (e solo allora) puoi modificare la chiave e il certificato sul lato Nginx.
L'agente WAPT accetterà quindi il nuovo certificato poiché sarà nel suo bundle (se cambi idea, puoi anche ripristinare quello vecchio; verrà comunque accettato dall'agente WAPT).
In generale, ricorda che WAPT verificherà il certificato HTTPS utilizzando le informazioni specificate nel file wapt-get.ini, in particolare nella sezione `verify_cert` del file globale. Consulta la documentazione:
https://www.wapt.fr/fr/doc/wapt-configu ... ertificate.
Prima di modificare il certificato sul lato server, devi assicurarti che gli agenti accettino il nuovo certificato.
Nota: preferisco di gran lunga usare il blocco; È più semplice e altrettanto sicuro.
