[RESOLU] Problème suite à renouvellement d'un certificat wildcard

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée ( 1.8.2 / 2.0 / 2.1 / 2.2 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Préciser OS du serveur (Linux / Windows) et version (Debian Stretch/Buster - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets (Windows 7 / 10)
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
jm@rc
Messages : 1
Inscription : 29 juil. 2021 - 16:48

27 janv. 2022 - 10:07

Version WAPT Server : 2.1.2
Version WAPT Agent : 2.1.2.10652
Version WAPT Setup : 2.1.2.10652
Version WAPT Deploy : 2.1.2.10652
OS : Linux RHEL 7.9
Administration / clients : Windows 7 et Windows 10
Licence : Entreprise

Bonjour,

Le certificat SSL wildcard que nous utilisons pour divers outils d'administration a expiré hier matin. Je l'avais renouvelé et installé partout... enfin c'est ce que je croyais. Ce certificat est utilisé notamment pour WAPT, côté NGINX. J'ai donc mis à jour pour la première fois le certificat renouvelé sur notre serveur WAPT et j'ai relancé NGINX. Lorsque je me connecte à l'URL de notre serveur (ie. https://xxx-wapt.xxxx.info), j'accède bien à la page d'accueil de notre serveur et le certificat wildcard est valide jusqu'en 2023.

Mais côté console WAPT, impossible de se connecter. En vérifiant la configuration locale de ma console WAPT, si je décoche "vérifier le certificat https serveur", les URL du dépôt principal et du serveur WAPT sont vues comme valides. Si je coche cette même case, cela ne fonctionne plus. En cliquant sur "Récupération certificat serveur https", je récupère bien mon certificat dans "C:\Program Files (x86)\wapt\ssl\server" mais cela ne fonctionne pas avec la coche cochée.
En cherchant un peu dans la documentation, j'ai vu qu'il était préférable d'utiliser l'option "verify_cert=1" lorsque l'on utilise un certificat commercial. Effectivement, avec cette option et la case cochée, plus de soucis sur ma console.

Toutefois, lorsque je tape la commande wapt-get enable-check-certificate sur ma propre machine, j'ai une erreur critique :
CRITICAL Common name of certificate (*.xxxx.info) does not match server hostname (xxx-wapt.xxxx.info
Ce qui est surprenant puisque c'est le même type de certificat qu'auparavant. J'ai même essayé de refaire la procédure postconf.sh mais sans plus de succès.

Maintenant, le gros soucis que j'ai, c'est que j'ai perdu l'ensemble de mes machines supervisées dans la console WAPT. En fait, elles sont toutes là mais elles sont toutes en statut "DISCONNECTED", sauf ma propre machine.

J'ai mis à jour une GPO où l'on déploie le fichier wapt-get.ini en ajoutant l'option verify_cert=1 dans la section [global]. Je me suis dit que si cela fonctionnait pour la console, cela fonctionnerait pour l'agent sur les machines clientes. J'ai poussé la GPO hier sur les postes en attendant que le service WAPT redémarre ce matin à la connexion de mes utilisateurs.

Hier soir, j'avais récupéré deux machines supplémentaires donc je pensais que tout allait revenir en ordre mais ce matin, je ne pas plus de machine connectées...

Qu'est ce que j'ai mal fait et comment remédier à ce problème ?

Merci par avance pour votre aide.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 781
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

01 févr. 2022 - 17:14

Bonjour JM,

il y a eux des problèmes avec les cerfiticats wildcard, pas directement dans le code, mais dans la manière dont il était récupéré et stocké. En effet le certificat est stocker avec son CN, et dans le cas d'un wildcard, il y a un * (asterisk) dans le CN, ce qui en convient pas trop au système de fichier.
L'utilisation du verify_cert=1 en utilisant le cert store de l'os fonctionne si la CA est reconnue par l'OS.
Si verify_cert est à 1, il n'est pas nécessaire de lancer le enable_verify_cert (à moins que vous vouliez faire du pinning)
Il y a eu des correctifs récemment par rapport à ce problème, mais je ne sais pas si ça a été backporté.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Répondre