Pagina 1 di 1
Problema durante la verifica del certificato del server HTTPS nella console
Pubblicato: 20 novembre 2019 - 16:44
di etunilim
Buongiorno,
Versione WAPT 1.7
Server: Debian 10
Console: Win 10
Sto configurando la console WAPT sulla mia workstation di amministrazione, seguendo la documentazione. Tutto procedeva correttamente finché, nella configurazione della console, non ho selezionato la casella "Verifica certificato server https".
Il certificato viene recuperato correttamente dal server e inserito in wapt/ssl/server/, ma ottengo subito errori SSL che appaiono in rosso nella finestra di configurazione:
Codice: Seleziona tutto
error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
Ho provato diverse cose, senza molto successo (tra cui enable-check-certificate in una finestra cmd, quindi riavviando il servizio wapt), ma non cambia nulla.
Non riesco nemmeno più ad avviare la console, continuo a ricevere gli stessi messaggi di errore SSL.
Sul server, ho sostituito i certificati autofirmati con quelli della mia organizzazione (sostituendo i file cert.pem e key.pem in /opt/wapt/waptserver/ssl/). La connessione all'interfaccia web del server funziona perfettamente.
Se qualcuno può aiutarmi, perché al momento non vedo davvero il problema.
grazie in anticipo
E.
Oggetto: Problema durante la verifica del certificato del server HTTPS nella console
Pubblicato: 20 novembre 2019 - 16:54
di etunilim
D,
Solo un piccolo appunto, se può essere utile:
Quando eseguo `wapt-get update` sul PC di amministrazione (Windows), ricevo il seguente messaggio di errore:
Codice: Seleziona tutto
C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(Ovviamente ho cambiato il nome del server)
Oggetto: Problema durante la verifica del certificato del server HTTPS nella console
Pubblicato: 22 novembre 2019 - 11:28
di etunilim
Salve,
dopo ulteriori test, l'errore non si verifica quando seleziono l'opzione "Verifica il certificato HTTPS del server". In tal caso, posso cliccare sul pulsante "Verifica" e tutto sembra funzionare correttamente (non viene visualizzato alcun messaggio di errore).
Il problema si presenta quando clicco sul pulsante "Recupera il certificato del server HTTP":
in questo caso, il certificato del server viene effettivamente recuperato (da Program Files (x86)/wapt/ssl/server/) ed è quello corretto, ma compaiono comunque gli errori di connessione.
Questo è un problema serio per me, perché se seleziono solo la casella, i certificati non sono presenti (non c'è nulla in Program Files (x86)/wapt/ssl/server/), quindi non capisco bene cosa stia verificando (ma ammetto che questo meccanismo dei certificati non mi è del tutto chiaro e potrei sbagliarmi).
Potreste fornirmi qualche informazione in merito?
Grazie in anticipo
.
Oggetto: Problema durante la verifica del certificato del server HTTPS nella console
Pubblicato: 22 novembre 2019 - 12:44
di sfontenau
Ciao,
a mio parere non hai specificato la catena di certificati completa sul server nginx:
https://www.wapt.fr/fr/doc/wapt-securit ... ganization
Per specificare una catena completa:
echo srvwapt.mydomain.lan.crt ca.crt > cert.pem
Ma come indicato nella documentazione
https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent,
se stai usando un certificato commerciale, è più semplice impostare il valore di verify_cert su 1.
Wapt utilizzerà quindi il bundle Python Certifi (139 public certificate bundle...) per verificare la connessione:
C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem
Tieni presente che la configurazione dell'agente "C:\Program Files (x86)\wapt\wapt-get.ini"
è indipendente dalla configurazione della console. "%localappdata%\waptconsole\waptconsole.ini"
Oggetto: Problema durante la verifica del certificato del server HTTPS nella console
Pubblicato: 22 novembre 2019 - 14:48
di etunilim
Salve,
questi problemi relativi ai certificati non mi sono molto chiari.
Per essere più precisi, sto usando un certificato Let's Encrypt e il file fullchain.pem (il file cert.pem non funzionava correttamente, nemmeno nell'interfaccia web del server, proprio a causa della catena incompleta).
Il file fullchain.pem dovrebbe fornire questa catena completa e ha effettivamente risolto il problema con Firefox.
Questo è il file recuperato dalla console (viene automaticamente rinominato myserver.my.domain.crt, ma contiene le stesse informazioni del file fullchain.pem).
I file che ho a disposizione con Let's Encrypt sono: cert.pem, chain.pem e fullchain.pem (quest'ultimo contenente il contenuto degli altri due). Anche se i nomi e le estensioni sono diversi, penso che corrispondano a quanto riportato nella documentazione.
Inoltre, il file myserver.my.domain.crt generato durante il recupero del certificato tramite la console contiene effettivamente due chiavi: una con il nome CN del mio server e Let's Encrypt Authority X3 come emittente, e la seconda con Let's Encrypt Authority X3 come CN e DST Root CA X3 come emittente.
di essere completamente spaesato.
confesso