Salve,
il certificato SSL del mio server WAPT sta per scadere.
A causa di un cambio di provider, il nuovo certificato che ho ottenuto non proviene dalla stessa autorità di certificazione del primo (generato due anni fa).
Come posso installare questo nuovo certificato sul mio server senza perdere la connessione con i miei client WAPT?
Attualmente, sto verificando il certificato del server utilizzando un bundle di certificati contenente le CA del vecchio provider...
Grazie per l'aiuto.
Cambio di autorità di certificazione.
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Peccato, nessuna risposta.
Quindi risponderò io stesso (potrebbe essere utile a qualcun altro).
Il mio piano:
proverò a distribuire un pacchetto che disabilita il pinning (verify_cert = 1) sui client.
Dato che i certificati non sono autofirmati, manterrò una crittografia SSL valida.
Una volta che questa modifica sarà propagata a tutti i client, cambierò i certificati della mia nuova CA sul mio server WAPT e verificherò che tutto continui a comunicare correttamente.
Cordiali saluti,
Quindi risponderò io stesso (potrebbe essere utile a qualcun altro).
Il mio piano:
proverò a distribuire un pacchetto che disabilita il pinning (verify_cert = 1) sui client.
Dato che i certificati non sono autofirmati, manterrò una crittografia SSL valida.
Una volta che questa modifica sarà propagata a tutti i client, cambierò i certificati della mia nuova CA sul mio server WAPT e verificherò che tutto continui a comunicare correttamente.
Cordiali saluti,
La procedura ha funzionato correttamente; fortunatamente avevo una o due settimane per implementare la nuova configurazione sui client, altrimenti, con il certificate pinning e la modifica della CA, la perdita di connessione con tutti i client sarebbe stata inevitabile.
Attenzione al bundle di certificati in nginx :
il bundle di certificati pubblici (/opt/wapt/waptserver/ssl/cert.pem) deve includere, in ordine, prima il certificato del server, poi i certificati intermedi e infine il certificato radice. Il mio provider (GEANT) li ha forniti in ordine inverso.
La mia conclusione personale: niente certificate pinning se si utilizzano certificati validi (non autofirmati).
Attenzione al bundle di certificati in nginx :
il bundle di certificati pubblici (/opt/wapt/waptserver/ssl/cert.pem) deve includere, in ordine, prima il certificato del server, poi i certificati intermedi e infine il certificato radice. Il mio provider (GEANT) li ha forniti in ordine inverso.
La mia conclusione personale: niente certificate pinning se si utilizzano certificati validi (non autofirmati).
