Page 1 sur 1
Probleme verif certif https serveur dans la console
Posté : 20 nov. 2019 - 16:44
par etunilim
Bonjour,
WAPT vers. 1.7
Serveur : debian 10
Console : Win 10
Je suis en train de configurer la console WAPT au niveau de mon poste d'administration, en suivant la doc. Tout se passait bien, jusqu'à ce que, dans la config de la console, je coche la case 'verify https server certificate".
Le certificat est bien récupéré sur le serveur, et placé dans wapt/ssl/server/, mais j'ai aussitôt des erreurs ssl qui apparaissent en rouge dans la fenêtre de configuration :
Code : Tout sélectionner
error:14.90086:SSL routines:ssl3_get_server_certificate:certificate verify failed.
J'ai essayé plusieurs choses, sans grand résultat (notamment enable-check-certificate en fenetre cmd, puis redémarrage du service wapt), mais ça ne change rien.
Je n'arrive même plus à démarrer la console, je récupère les mêmes messages d'erreur ssl.
Sur le serveur, j'ai remplacé les certificats autosignés par ceux de mon organisation (remplacement des fichiers cert.pem et key.pem dans /opt/wapt/waptserver/ssl/). La connexion à l'interface web du serveur fonctionne parfaitement.
Si quelqu'un peut m'aider, parce que là, je ne vois pas trop le probleme.
Merci d'avance
E.T.
Re: Probleme verif certif https serveur dans la console
Posté : 20 nov. 2019 - 16:54
par etunilim
Re,
Petite précision, si ça peut aider :
Quand je fais un wapt-get update sur le PC d'administration (Windows): j'ai lemessage d'erreur suivant :
Code : Tout sélectionner
C:\windows\system32>wapt-get update
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Update package list from https://waptsrv.mondomaine.fr/wapt, https://waptsrv.mondomaine.fr/wapt-host
2019-11-20 15:45:25,494 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))
2019-11-20 15:45:25,588 CRITICAL Error merging Packages from https://waptsrv.mondomaine.fr/wapt-host into db: SSLError: HTTPSConnectionPool(host='waptsrv.mondomaine.fr', port=443): Max retries exceeded with url: /wapt-host/464E1D42-5112-5296-C225-3E9D7E0AA64D.wapt (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))C:\windows\system32>wapt-get update
(j'ai modifié le nom du serveur, bien sur)
Re: Probleme verif certif https serveur dans la console
Posté : 22 nov. 2019 - 11:28
par etunilim
Bonjour,
Après de nouveaux tests, en fait, l'erreur ne se produit pas dès que je coche l'option "Vérifier le certificat https du serveur". Dans ce cas, je peux cliquer sur le bouton "verification" et tout se passe bien en tout cas, pas d'erreur affichée).
C'est quand je clique sur le bouton "récupération certificat serveur http" que le probleme se pose :
Dans ce cas, il récupère effectivement le certificat du serveur (dans program files (x86)/wapt/ssl/server/), c'est le bon certificat, mais les erreurs de connexion apparaissent.
Ca me pose sérieusement question, puisque si on ne fait que cocher la case, il n'a pas les certificats (rien dans program files (x86)/wapt/ssl/server/) , et je ne vois donc pas bien ce qu'il peut vérifier (mais j'avoue que ce mécanisme des certificats est assez flou pour moi, et je peux me tromper).
Serait il possible d'avoir quelques infos là dessus ?
Merci d'avance
E.T.
Re: Probleme verif certif https serveur dans la console
Posté : 22 nov. 2019 - 12:44
par sfonteneau
Bonjour
A mon avis vous n'avez pas indiqué la chaine complète sur le serveur nginx:
https://www.wapt.fr/fr/doc/wapt-securit ... ganization
Pour mettre un chaine complète :
echo srvwapt.mydomain.lan.crt ca.crt > cert.pem
Mais comme l'indique la doc
https://www.wapt.fr/fr/doc/wapt-securit ... wapt-agent
si vous utilisez un certificat commercial, il est plus simple de mettre la valeur de verify_cert a 1
Wapt utilisera alors le bundle python cerifi (139 bundle de certificat grand publique ...) pour vérifier la connexion :
C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem
Attention la conf de l'agent "C:\Program Files (x86)\wapt\wapt-get.ini"
est indépendante de la conf de la console: "%localappdata%\waptconsole\waptconsole.ini"
Re: Probleme verif certif https serveur dans la console
Posté : 22 nov. 2019 - 14:48
par etunilim
Bonjour,
Ces histoires de certificats ne sont pas très claires pour moi.
Pour plus de précisions, j'utilise un certificat let's encrypt, et j'utilise le fichier fullchain.pem (le fichier cert.pem ne fonctionnait pas bien, déja dans l'interface web du serveur, justement à cause de la chaine incomplete).
Le fichier fullchain.pem est censé fournir cette chaine complete, et a effectivement résolu le probleme avec firefox.
C'est bien ce fichier qui est récupéré par la console (il est renommé automatiquement monserveur.mon.domaine.crt, mais contient bien la même chose que le fichier fullchain.pem).
Les fichiers que j'ai à ma disposition avec let's encrypt sont : cert.pem, chain.pem, et fullchain.pem (ce dernier regroupant le contenu des deux autres). Même si les noms et les extensions diffèrent, j'ai l'impression que ça correspond bien à ce qu'il y a dans la doc.
D'ailleurs, le fichier monserveur.mon.domaine.crt généré lors de la récupération des certifs par la console contient bien deux clés, une qui porte en CN le nom de mon serveur, et en issuer Let's Encrypt Authority X3, et la seconde qui a pour cn Let's Encrypt Authority X3, et en issuer DST Root CA X3
Si ca vous parle... J'avoue que moi, je m'y perds completement.
E.T.