[RESOLU] WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Répondre
TomTomGo
Messages : 22
Inscription : 03 mai 2017 - 15:36
Localisation : La Chapelle sur Erdre

25 juil. 2024 - 14:36

Bonjour,

Serveur WAPT : Debian 11 à jour
Poste client : Windows 11 23H2
WAPT 2.5.5.15691 Discovery

Suite à l'upgrade de mon serveur WAPT de 2.5.5.15640 vers 2.5.5.15691 ce matin, j'ai un message d'erreur lorsque j'essaye de mettre à jour l'agent WAPT sur les postes à l'aide de waptdeploy.exe :

Code : Tout sélectionner

waptdeploy.exe --waptsetupurl=https://srvwapt.mydomain/wapt/waptagent.exe --hash=942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b --minversion=2.5.5.15691 --tasks=autorunTray,installService,installredist2008,!autoUpgradePolicy --wait=15
{"waptsetupurl":"https://srvwapt.mydomain/wapt/waptagent.exe","hash":"942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b","minversion":"2.5.5.15691","tasks":"autorunTray,installService,installredist2008,!autoUpgradePolicy","wait":"15"}
WAPT version: 2.5.5.15640
WAPT required version: 2.5.5.15691
Wapt agent path: C:\Users\toto\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://srvwapt.mydomain/wapt/waptagent.exe
Trying to reach https://srvwapt.mydomain/wapt/waptagent.exe...
Expecting hash sha256: 942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b
Using proxy :
Error trying to get https://srvwapt.mydomain/wapt/waptagent.exe : Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00323D02:
Exception: Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]
  $00323D02
  $00325402
J'ai supprimé et regénéré les certificats SSL Nginx sous /opt/wapt/waptserver/ssl/ à l'aide du script postconf.sh => IDEM
J'ai également tenté de remplacer le FQDN du serveur wapt par l'adresse IP => IDEM (cf viewtopic.php?p=11185&hilit=%5BENetSock ... led#p11185)
J'ai forcé la réinstallation des paquets tis-waptserver tis-waptsetup et relancé le postconf => IDEM
Je suis à court d'idées, est-ce que quelqu'un a également rencontré ce problème SVP ?

Merci d'avance et bonne journée
Dernière modification par TomTomGo le 29 juil. 2024 - 15:41, modifié 1 fois.
Haut
TomTomGo
Messages : 22
Inscription : 03 mai 2017 - 15:36
Localisation : La Chapelle sur Erdre

25 juil. 2024 - 15:24

Bon après consultation du CHANGELOG de la 2.5.5.15691, j'ai vu ça :

[IMP] waptserver: on Linux: use TLS1.3 for nginx on linux

J'ai donc repassé en TLS 1.2 dans /etc/nginx/sites-enabled/wapt.conf :

Code : Tout sélectionner

ssl_protocols               TLSv1.2;
Après relance des services Nginx ça fonctionne à nouveau :)
Haut
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1516
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :
Contacter dcardon

25 juil. 2024 - 17:15

Bonjour Thomas,

il semble que Windows 11 n'active pas TLS1.3 par défaut (il y a des clefs de registre à changer).

WAPTAgent utilise OpenSSL pour toute la cryptographie, mais WAPTDeploy, pour être plus léger se base sur l'implémentation schannel de Windows pour éviter d'avoir à embarquer OpenSSL (ce qui doublerait la taille de waptdeploy...). Et la conf schannel par défaut d'un win11 n'a pas le tls1.3 activé (il y a une clef de registre / GPO à mettre pour cela). Note : Edge fait du TLS1.3 car il se base sur la couche TLS de Chromium et non celle de Windows, donc ça induit un peu en erreur. Note2: histoire d'induire encore plus en erreur l'adminsys insouciant, TLS1.3 avait été activé sur Win10 depuis déjà quelques années alors que Microsoft dit que ce n'est pas le cas, et Windows 11 c'est pas activé alors que Microsoft dit que c'est le cas[1]...

On avait basculé en TLS1.3 pour le passage en certification CSPN, mais vu que TLS1.2 est encore accepté au niveau ANSSI, je crois que l'on va modifier la Target of Evaluation pour spécifier TLS1.2, ça sera plus simple.

Merci pour cette remonté.

Cordialement,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Haut
TomTomGo
Messages : 22
Inscription : 03 mai 2017 - 15:36
Localisation : La Chapelle sur Erdre

25 juil. 2024 - 17:31

dcardon a écrit : 25 juil. 2024 - 17:15 Bonjour Thomas,

il semble que Windows 11 n'active pas TLS1.3 par défaut (il y a des clefs de registre à changer).

WAPTAgent utilise OpenSSL pour toute la cryptographie, mais WAPTDeploy, pour être plus léger se base sur l'implémentation schannel de Windows pour éviter d'avoir à embarquer OpenSSL (ce qui doublerait la taille de waptdeploy...). Et la conf schannel par défaut d'un win11 n'a pas le tls1.3 activé (il y a une clef de registre / GPO à mettre pour cela). Note : Edge fait du TLS1.3 car il se base sur la couche TLS de Chromium et non celle de Windows, donc ça induit un peu en erreur. Note2: histoire d'induire encore plus en erreur l'adminsys insouciant, TLS1.3 avait été activé sur Win10 depuis déjà quelques années alors que Microsoft dit que ce n'est pas le cas, et Windows 11 c'est pas activé alors que Microsoft dit que c'est le cas[1]...

On avait basculé en TLS1.3 pour le passage en certification CSPN, mais vu que TLS1.2 est encore accepté au niveau ANSSI, je crois que l'on va modifier la Target of Evaluation pour spécifier TLS1.2, ça sera plus simple.

Merci pour cette remonté.

Cordialement,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support
Bonjour Denis,

Merci pour votre retour, effectivement ça ne s'invente pas, et il est surprenant que Windows 11 n'active pas le TLS 1.3 par défaut, bon à savoir ...
Et la gestion indépendante des versions de TLS des navigateurs n'aident pas à s'y retrouver, mais j'ai fini par comprendre que c'était ça qui devait poser problème. Du coup si je comprends bien vous allez rester sur du TLS 1.2 tant qu'il sera toujours validé par l'ANSSI ?

Merci et bonne soirée,

Thomas
Haut
Répondre

Revenir à « WAPT Server »


  • Pour aller plus loin avec WAPT