Forum Tranquil IT

Bonjour,

Suite à une fusion entre 2 sociétés mon serveur linux qui se trouvait dans le domaine XXX.fr se trouve désormais dans le domaine YYY.org

Depuis j'ai différents soucis, principalement pour les mises à jour Windows qui ne remontent pas bien voire pas du tout.

Quand je regarde les logs sur les clients j'ai ce message qui revient

Request signature verification failed: SSL signature verification failed for certificate {'organizationName': 'HP', 'commonName': '21CA61F1-9589-EC11-810F-C01803D8F19C'} issued by srvwapt.xxx.fr")

en regardant de plus près je constate que les certificats (dans le dossier private) sur les client ont été émis pas le serveur srvwapt.xxx.fr
Le certificat serveur (dans le dossier SSL du client) n'a pas changé

Mes postes de travail sont également passés de xxx.fr à yyy.fr mais je les vois bien dans la console.

Dans le waptget.ini de mes postes j'avais mis l'adresse IP du serveur plutôt que le FQDN et cela marchait parfaitement.

Du coup je n'ai pas réinstallé les agents après la migration.

Y a t'il une procédure particulière à suivre dans ce cas précis :
- RAZ de la base ?
- Réinstallation des agents sur les postes ?
- Création d'un nouveau certificat ?
- autres ... ?

Merci

Bonjour Jérôme,

version de WAPT, serveur, etc. (cf. forum rules).

plusieurs manières de référencer un poste sur le serveur WAPT :
* par UUID Bios (ou uuid aléatoire)
* par FQDN

Si les agents ont été installé en référencement UUID (valeur par défaut), ils pourront se référencer à nouveau sur le serveur sans problème. Il faut juste qu'il puisse recontacter le serveur et s'authentifier avec leur certificat client. Le nom de la machine d'origine est référencé dans la CA pour l'auth des postes clients, mais c'est juste à titre indicatif, il n'y a donc pas de soucis avec un renommage ou un changement de domaine.

Pour le certificat https, il faut qu'il soit reconnu par les postes. Si le certificat était issue d'une autorité reconnu par défaut (c-à-d qui est présente dans le certstore de Windows, comme Vérisign par ex.), il n'y a rien à faire pour que le certificat soit reconnu (tant que verify_cert=1 qui dit à l'agent wapt d'utiliser le certstore Windows). Si le certificat https n'est pas reconnu, il faut soit le rajouter au certstore soit le pinner, cf. doc wapt. Mais bon, tout cela c'est pas spécifique à WAPT, c'est juste du https standard.

Après il faut que l'agent pointe bien sur le bon serveur. Si vous avez l'ancienne adresse du serveur dans la conf wapt locale, et que vous avez renommé côté serveur, et que le ssl est activé, bien sûr ça va pas fonctionner des masses (à moins que vous avez renseigné l'attribut SAN lors de la nouvelle génération du certificat https).

Cordialement,

Denis

Version WAPT Server : 2.3.0.13516 Debian 11 Bulleyes
Version WAPT Agent : 2.3.0.13516


Bonjour,
Pour précisions j'avais installé wapt sur des pc dans un domaine1 et cela fonctionnait parfaitement.

Nous avons fusionnés avec une autre entreprise et les PC du domaine1 ont migrés vers le domaine2.
Dans ce domaine2 j'ai donc des "anciens PC" (domaine1 et des nouveaux.

j'ai redéployé sur tous mes anciens postes le nouveau wapt-get.ini avec le bon serveur et ce que je pense être le bon paramétrage.
J'ai également déployer le nouveau certificat dans c:\....\wapt\ssl

Sur les nouveaux PC j'ai installé l'agent à partir du nouveau serveur

Les agents remontent bien mais j'ai quelques bizarreries que je n'avais pas avant:

Depuis la console je n'arrive pas à lancer les recherches de mise à jour à appliquer (ou autre) rien ne se passe
sur les anciens PC et les nouveaux si avec un, compte admin, en cmd je tape wapt-get waptwua-install j'ai une erreur si je le fait en mode admin cela fonctionne ..... (waptget_waptwuainstall.png) Est ce normal ?

Ensuite sur un nouveau PC j'aimerai installer Nginx, j'ai donc téléchargé le paquet et quand je veux le déployer j'ai un message d'erreur (error_deploy.png)
J'ai regardé les log sur le PC et il ne me semble pas y avoir de problème.
J'ai mis mon wapt-get.ini et le log dans le zip.

Merci

Bonjour

Vous avez tous les symptome d'une erreur de certificat

Le certificat avec laquelle vous signez apparait bien dans l'onglet certificat de la machine ? (a droite) ?

Simon