Probleme verif certif https serveur dans la console

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Verrouillé
etunilim
Messages : 9
Enregistré le : 15 nov. 2019 - 11:17

20 nov. 2019 - 16:44

Bonjour,

WAPT vers. 1.7
Serveur : debian 10
Console : Win 10

Je suis en train de configurer la console WAPT au niveau de mon poste d'administration, en suivant la doc. Tout se passait bien, jusqu'à ce que, dans la config de la console, je coche la case 'verify https server certificate".
Le certificat est bien récupéré sur le serveur, et placé dans wapt/ssl/server/, mais j'ai aussitôt des erreurs ssl qui apparaissent en rouge dans la fenêtre de configuration :

Code : Tout sélectionner

error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
J'ai essayé plusieurs choses, sans grand résultat (notamment enable-check-certificate en fenetre cmd, puis redémarrage du service wapt), mais ça ne change rien.
Je n'arrive même plus à démarrer la console, je récupère les mêmes messages d'erreur ssl.

Sur le serveur, j'ai remplacé les certificats autosignés par ceux de mon organisation (remplacement des fichiers cert.pem et key.pem dans /opt/wapt/waptserver/ssl/). La connexion à l'interface web du serveur fonctionne parfaitement.

Si quelqu'un peut m'aider, parce que là, je ne vois pas trop le probleme.

Merci d'avance
E.T.
Haut
etunilim
Messages : 9
Enregistré le : 15 nov. 2019 - 11:17

20 nov. 2019 - 16:54

Re,

Petite précision, si ça peut aider :

Quand je fais un wapt-get update sur le PC d'administration (Windows): j'ai lemessage d'erreur suivant :

Code : Tout sélectionner

C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(j'ai modifié le nom du serveur, bien sur)
Haut
etunilim
Messages : 9
Enregistré le : 15 nov. 2019 - 11:17

22 nov. 2019 - 11:28

Bonjour,

Après de nouveaux tests, en fait, l'erreur ne se produit pas dès que je coche l'option "Vérifier le certificat https du serveur". Dans ce cas, je peux cliquer sur le bouton "verification" et tout se passe bien en tout cas, pas d'erreur affichée).
C'est quand je clique sur le bouton "récupération certificat serveur http" que le probleme se pose :
Dans ce cas, il récupère effectivement le certificat du serveur (dans program files (x86)/wapt/ssl/server/), c'est le bon certificat, mais les erreurs de connexion apparaissent.
Ca me pose sérieusement question, puisque si on ne fait que cocher la case, il n'a pas les certificats (rien dans program files (x86)/wapt/ssl/server/) , et je ne vois donc pas bien ce qu'il peut vérifier (mais j'avoue que ce mécanisme des certificats est assez flou pour moi, et je peux me tromper).

Serait il possible d'avoir quelques infos là dessus ?

Merci d'avance
E.T.
Haut
Avatar du membre
sfonteneau
Expert WAPT
Messages : 2084
Enregistré le : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

22 nov. 2019 - 12:44

Bonjour

A mon avis vous n'avez pas indiqué la chaine complète sur le serveur nginx:

https://www.wapt.fr/fr/doc/wapt-securit ... ganization

Pour mettre un chaine complète :
echo srvwapt.mydomain.lan.crt ca.crt > cert.pem


Mais comme l'indique la doc
https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent

si vous utilisez un certificat commercial, il est plus simple de mettre la valeur de verify_cert a 1

Wapt utilisera alors le bundle python cerifi (139 bundle de certificat grand publique ...) pour vérifier la connexion :
C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem


Attention la conf de l'agent "C:\Program Files (x86)\wapt\wapt-get.ini"
est indépendante de la conf de la console: "%localappdata%\waptconsole\waptconsole.ini"
Haut
etunilim
Messages : 9
Enregistré le : 15 nov. 2019 - 11:17

22 nov. 2019 - 14:48

Bonjour,

Ces histoires de certificats ne sont pas très claires pour moi.

Pour plus de précisions, j'utilise un certificat let's encrypt, et j'utilise le fichier fullchain.pem (le fichier cert.pem ne fonctionnait pas bien, déja dans l'interface web du serveur, justement à cause de la chaine incomplete).

Le fichier fullchain.pem est censé fournir cette chaine complete, et a effectivement résolu le probleme avec firefox.
C'est bien ce fichier qui est récupéré par la console (il est renommé automatiquement monserveur.mon.domaine.crt, mais contient bien la même chose que le fichier fullchain.pem).

Les fichiers que j'ai à ma disposition avec let's encrypt sont : cert.pem, chain.pem, et fullchain.pem (ce dernier regroupant le contenu des deux autres). Même si les noms et les extensions diffèrent, j'ai l'impression que ça correspond bien à ce qu'il y a dans la doc.

D'ailleurs, le fichier monserveur.mon.domaine.crt généré lors de la récupération des certifs par la console contient bien deux clés, une qui porte en CN le nom de mon serveur, et en issuer Let's Encrypt Authority X3, et la seconde qui a pour cn Let's Encrypt Authority X3, et en issuer DST Root CA X3

Si ca vous parle... J'avoue que moi, je m'y perds completement.

E.T.
Haut
Verrouillé

Retourner vers « WAPT usage (Console, Agent) / Utilisation WAPT (Console, Agent) »


  • Pour aller plus loin avec WAPT