Problema durante la verifica del certificato del server HTTPS nella console

Condividi qui i tuoi suggerimenti o problemi riguardanti la console WAPT o l'agente WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
etunilim
Messaggi: 9
Registrazione: 15 nov 2019 - 11:17

20 novembre 2019 - 16:44

Buongiorno,

Versione WAPT 1.7
Server: Debian 10
Console: Win 10

Sto configurando la console WAPT sulla mia workstation di amministrazione, seguendo la documentazione. Tutto procedeva correttamente finché, nella configurazione della console, non ho selezionato la casella "Verifica certificato server https".
Il certificato viene recuperato correttamente dal server e inserito in wapt/ssl/server/, ma ottengo subito errori SSL che appaiono in rosso nella finestra di configurazione:

Codice: Seleziona tutto

error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
Ho provato diverse cose, senza molto successo (tra cui enable-check-certificate in una finestra cmd, quindi riavviando il servizio wapt), ma non cambia nulla.
Non riesco nemmeno più ad avviare la console, continuo a ricevere gli stessi messaggi di errore SSL.

Sul server, ho sostituito i certificati autofirmati con quelli della mia organizzazione (sostituendo i file cert.pem e key.pem in /opt/wapt/waptserver/ssl/). La connessione all'interfaccia web del server funziona perfettamente.

Se qualcuno può aiutarmi, perché al momento non vedo davvero il problema.

grazie in anticipo
E.
Alto
etunilim
Messaggi: 9
Registrazione: 15 nov 2019 - 11:17

20 novembre 2019 - 16:54

D,

Solo un piccolo appunto, se può essere utile:

Quando eseguo `wapt-get update` sul PC di amministrazione (Windows), ricevo il seguente messaggio di errore:

Codice: Seleziona tutto

C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(Ovviamente ho cambiato il nome del server)
Alto
etunilim
Messaggi: 9
Registrazione: 15 nov 2019 - 11:17

22 novembre 2019 - 11:28

Salve,

dopo ulteriori test, l'errore non si verifica quando seleziono l'opzione "Verifica il certificato HTTPS del server". In tal caso, posso cliccare sul pulsante "Verifica" e tutto sembra funzionare correttamente (non viene visualizzato alcun messaggio di errore).
Il problema si presenta quando clicco sul pulsante "Recupera il certificato del server HTTP":
in questo caso, il certificato del server viene effettivamente recuperato (da Program Files (x86)/wapt/ssl/server/) ed è quello corretto, ma compaiono comunque gli errori di connessione.
Questo è un problema serio per me, perché se seleziono solo la casella, i certificati non sono presenti (non c'è nulla in Program Files (x86)/wapt/ssl/server/), quindi non capisco bene cosa stia verificando (ma ammetto che questo meccanismo dei certificati non mi è del tutto chiaro e potrei sbagliarmi).

Potreste fornirmi qualche informazione in merito?

Grazie in anticipo
.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

22 novembre 2019 - 12:44

Ciao,

a mio parere non hai specificato la catena di certificati completa sul server nginx:

https://www.wapt.fr/fr/doc/wapt-securit ... ganization

Per specificare una catena completa:
echo srvwapt.mydomain.lan.crt ca.crt > cert.pem


Ma come indicato nella documentazione
https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent,

se stai usando un certificato commerciale, è più semplice impostare il valore di verify_cert su 1.

Wapt utilizzerà quindi il bundle Python Certifi (139 public certificate bundle...) per verificare la connessione:
C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem


Tieni presente che la configurazione dell'agente "C:\Program Files (x86)\wapt\wapt-get.ini"
è indipendente dalla configurazione della console. "%localappdata%\waptconsole\waptconsole.ini"
Alto
etunilim
Messaggi: 9
Registrazione: 15 nov 2019 - 11:17

22 novembre 2019 - 14:48

Salve,

questi problemi relativi ai certificati non mi sono molto chiari.

Per essere più precisi, sto usando un certificato Let's Encrypt e il file fullchain.pem (il file cert.pem non funzionava correttamente, nemmeno nell'interfaccia web del server, proprio a causa della catena incompleta).

Il file fullchain.pem dovrebbe fornire questa catena completa e ha effettivamente risolto il problema con Firefox.
Questo è il file recuperato dalla console (viene automaticamente rinominato myserver.my.domain.crt, ma contiene le stesse informazioni del file fullchain.pem).

I file che ho a disposizione con Let's Encrypt sono: cert.pem, chain.pem e fullchain.pem (quest'ultimo contenente il contenuto degli altri due). Anche se i nomi e le estensioni sono diversi, penso che corrispondano a quanto riportato nella documentazione.

Inoltre, il file myserver.my.domain.crt generato durante il recupero del certificato tramite la console contiene effettivamente due chiavi: una con il nome CN del mio server e Let's Encrypt Authority X3 come emittente, e la seconda con Let's Encrypt Authority X3 come CN e DST Root CA X3 come emittente.

di essere completamente spaesato.

confesso
Alto
Bloccato

Torna a "Utilizzo WAPT (Console, Agente) / Utilizzo WAPT (Console, Agente)"


  • Per andare oltre con WAPT