SSL sur dépôt secondaire WAPTHttpServer

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Répondre
sterobo
Messages : 21
Inscription : 24 juil. 2025 - 15:20

29 janv. 2026 - 14:55

Bonjour,

Je ne parvient pas à faire fonctionner un dépôt secondaire en https avec WAPTHttpServer (Windows, wapt 2.6.1.17472)
Ma configuration utilise une AC renseigné dans "verify_cert", qui signe le serveur principal (tout fonctionne correctement pour lui, mais il n'utilise sans doute pas WAPTHttpServer)
Le certificat du dépôt secondaire utilise la même AC, le dépôt secondaire semble bien accessible en https (via un navigateur, tout est OK, l'AC est la même que celle configurée dans verify_cert) mais j'ai l'erreur suivante lors d'un wapt-get update :

Code : Tout sélectionner

ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
La règle de dépôt semble correcte (en http elle fonctionnait et le serveur était accessible)
Les logs de wapt, coté dépôt secondaire, indiquent bien des accès lors des tests avec un navigateur (access443.log) mais le fichier error443.log reste désespérément vide...
J'ai lu les posts et la doc qui abordent ces sujets mais là je sèche un peu...
Dernière modification par sterobo le 02 févr. 2026 - 10:47, modifié 1 fois.
Haut
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 2229
Inscription : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

29 janv. 2026 - 15:41

Bonjour

Pour bien comprendre vous avez bien créer un certificat dédier au dépôt secondaire issue de votre AC ?

Vous avez ensuite modifier la conf de votre wapthttpserver pour mettre cette nouvelle paire de certificat ?

Le certificat coter dépôt secondaire est bien la fullchain ?
Haut
sterobo
Messages : 21
Inscription : 24 juil. 2025 - 15:20

30 janv. 2026 - 12:12

Bonjour, merci pour votre réponse.
C'est oui pour les deux premières questions mais il faut que je vérifie pour le fullchain mais je pense que non. Je vais chercher de ce côté.
Haut
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 2229
Inscription : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

30 janv. 2026 - 14:20

Il faut vérifier aussi que dans wapt-get.ini

verify_cert pointe bien vers la CA Root ou l'inter mais pas sur le certificat final du serveur
Haut
sterobo
Messages : 21
Inscription : 24 juil. 2025 - 15:20

02 févr. 2026 - 09:55

Merci pour ces réponses.
J'ai vérifié wapt-get.ini, mais j'ai a priori la même erreur avec la fullchain.

Les accès via le navigateur ou même de la console (si je définis le secondaire en tant que dépôt principal) sont bien visibles dans access443.log mais toujours rien dans error443.log et wapt-get update échoue toujours.
Haut
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 2229
Inscription : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

02 févr. 2026 - 10:50

Que donne un:

wapt-get update --force -ldebug ?
Haut
sterobo
Messages : 21
Inscription : 24 juil. 2025 - 15:20

02 févr. 2026 - 11:19

La même erreur revient de multiple fois :

Code : Tout sélectionner

...
2026-02-02 10:59:39,319 DEBUG Checking availability of https://<fqdn dépôt secondaire>/wapt/Packages
2026-02-02 10:59:39,319 DEBUG Starting new HTTPS connection (1): <fqdn dépôt secondaire>:443
2026-02-02 10:59:39,319 ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
2026-02-02 10:59:39,319 CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
...
Mais ce qui m'intrigue c'est que rien n'est présent dans error443.log, comme si la connexion n'était même pas tentée par wapt-get.
Haut
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 2229
Inscription : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

02 févr. 2026 - 13:01

Vous n'allez rien voir coter dépôt secondaire car c'est l'agent qui refuser la connexion https car il considère que le bundle n'est pas valide.

Vous pouvez essayer en pure python:

Code : Tout sélectionner

C:\Windows\System32>wapt-get shell
Python 3.11.14 (main, Dec 18 2025, 13:46:39) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
(InteractiveConsole)
>>> import requests
>>> requests.get('https://reposecondaire.mydomain.lan',verify=r'C:\Program Files (x86)\wapt\ssl\server\ca.crt').content
Mais il devrais répondre :

Code : Tout sélectionner

[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)
Si ça marche avec votre navigateur il doit manquer soit la full chain coter serveur (intermédiaire est manquant)
Soit que le chemin : C:\Program Files (x86)\wapt\ssl\server\ca.crt ne pointe pas vers la ca mais vers un certificat final (pinning)

Avez-vous bien redémarrer le serveur http du dépôt secondaire après avoir mis la fullchain sur le dépôt secondaire ?
Haut
sterobo
Messages : 21
Inscription : 24 juil. 2025 - 15:20

02 févr. 2026 - 13:21

Ok merci ! (je ne connaissais pas wapt-get shell :oops: )
Pas de pinning et service redémarré, mais j'ai vérifié le fullchain et a priori il y avait une inversion de l'ordre des certificats (j'avais récupéré la fullchain du navigateur). Ça fonctionne maintenant ! Merci beaucoup pour votre aide !

Edit : en fait non, pas d'inversion, plus d'erreur parce que plus accessible et qu'il passait sur le fallback...
Haut
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 2229
Inscription : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

02 févr. 2026 - 13:45

ça marche avec la commande curl ?

Code : Tout sélectionner

curl https://reposecondaire.mydomain.lan --cacert "C:\Program Files (x86)\wapt\ssl\server\ca.crt"
Haut
Répondre

Revenir à « WAPT Server »


  • Pour aller plus loin avec WAPT