Forum Tranquil IT

Bonjour,
le serveur lorsque je le configure avec un certificat exterieur dans nginx et je le recharge (reload nginx) la page web apparait bien en https
donc j'etais content.
maintenant j'ai une erreur lorsque je veux deployer en utlisant waptdeploy.exe et le hash et le waptagent... il y a une erreur lors du telechargement de cet waptagent

Code : Tout sélectionner

C:\Users\wapttestuser\Downloads>waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12463 --wait=15 --waptsetupurl=https://waptserver/wapt/waptagent.exe
{"hash":"02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a","minversion":"2.2.3.12463","wait":"15","waptsetupurl":"https://waptserver/wapt/waptagent.exe"}
WAPT version:
WAPT required version: 2.2.3.12463
Wapt agent path: C:\Users\samuel.adm\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://waptserver/wapt/waptagent.exe
Trying to reach https://waptserver/wapt/waptagent.exe...
Expecting hash sha256: 02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a
Using proxy :
Error trying to get https://waptserver/wapt/waptagent.exe : Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00403958:
Exception: Error downloading https://waptserver/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <waptserver>: Result 80090326 [SEC_E_ILLEGAL_MESSAGE], System Error 87 '']
  $00403958
  $00404D73

quand je remets le certificat auto-signe de l'installation dans nginx ... ca remarche mais HTTPS non conforme

PS: j'ai essaye de refaire mon paquet waptagent et donc avec un nouveau hash ... mais ce n'est pas la le probleme ... je sais c'est ma config
et pour finir https://waptserver/wapt/waptagent.exe est accessible correctement
Merci d'avance !
Samuel

C'est uniquement avec waptdeploy le problème ?

Apparemment oui...
j'avais mis en place la GPO et fait un test sur une machine et ca marchait ... quand j'ai installé le certificat ( valide pour notre site ) la GPO ne s'exécutait plus et donc j'ai essayé de lancer la commande en manuel avec les erreurs du post précèdent. En revenant à l'ancien certificat (autosigné) la commande s'exécute correctement et l'agent est déployé sur la machine test.

est-ce qu'il y a une étape que j'ai oublié en installant/copiant mon certificat sur le serveur Debian ?

quelques détails: /etc/nginx/site-enabled/wapt.conf

Code : Tout sélectionner

server {
    listen                      80;
    listen                      [::]:80;
    server_name                 _;
    return 301                  https://$host$request_uri;
}

server {
    listen                      443 ssl;
    listen                      [::]:443 ssl;
    server_name                 _;
    #server_name                 wapt.site.fr;
    # BACKUP certificat installation WAPT => autosigné
    #ssl_certificate             "/opt/wapt/waptserver/ssl/cert.pem";
    #ssl_certificate_key         "/opt/wapt/waptserver/ssl/key.pem";

    # Certificat site.fr => pour notre site ici
    ssl_certificate             "/opt/wapt/waptserver/ssl/cert+CA-site.fr.pem";
    ssl_certificate_key         "/opt/wapt/waptserver/ssl/wildcard-site.fr.pem";
    ssl_protocols               TLSv1.2;
    ssl_dhparam                 "/etc/ssl/certs/dhparam.pem";

    ssl_prefer_server_ciphers   on;
    ssl_ciphers                 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_stapling                on;
    ssl_stapling_verify         on;
    ssl_session_cache           none;
    ssl_session_tickets         off;

    # HSTS (ngx_http_headers_module is required) (63072000 seconds)
    add_header Strict-Transport-Security "max-age=63072000" always;
    #ssl_client_certificate "/opt/wapt/conf/ca-wapt.site.fr.crt";
    #ssl_crl "None";
    #ssl_verify_client optional;
    gzip_min_length     1000;
    gzip_buffers        4 8k;
    gzip_http_version   1.0;
    gzip_disable        "msie6";
    gzip_types          text/plain text/css application/json;
    gzip_vary           on;

    index index.html;
    client_max_body_size 12288m;
    client_body_timeout 1800;

    # sub instances
    include /opt/wapt/conf/wapt.d/*.conf;

    location /static {
            alias "/opt/wapt/waptserver/static";
    }
    location /ssl {
            alias "/var/www/ssl";
    }
    # not protected URL
    location ~ ^/(wapt/waptsetup.*.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json|rules.json|licences.json)$ {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        root "/var/www";
    }
    # not protected URL
    location /wads {
        alias "/var/www/wads";
    }
    # SSL protected URL
    location ~ ^/(wapt/.*|waptwua/.*|wapt-diff-repos/.*)$ {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        # be sure these headers are not forwarded
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";
        root "/var/www";
    }
    # we don't want to expose our list of computers in case someone scan this folder.
    location /wapt-host/Packages {
        return 403;
    }
    location ~ ^/(wapt-host/.*)$ {
        log_not_found off;
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";
        root "/var/www";
    }
    location ~ ^/.*_kerberos$ {
        return 403;
    }
    location / {
        add_header X-Remote-IP $remote_addr;
        proxy_http_version 1.1;
        proxy_request_buffering off;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8080;
    }
    location /socket.io {
        proxy_http_version 1.1;
        proxy_request_buffering off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_pass http://127.0.0.1:8080/socket.io;
    }
}

GRAND MERCI!

On avance un petit peu ...
si je change mon l'appel de waptdeploy tel que :

Code : Tout sélectionner

waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://wapt.monsite.fr/wapt/waptagent.exe

j'ai l'erreur précédente (TLS failed)
si je change par son adresse IP ca marche:

Code : Tout sélectionner

waptdeploy.exe --hash=02dfba835e17c928933a9bf929200cd50475fc8658322e1f4484b563bfe0738a --minversion=2.2.3.12465 --wait=15 --waptsetupurl=https://[b]192.168.x.x[/b]/wapt/waptagent.exe

mais au niveau DNS sur le poste client c'est OK ... ping -a 192.168.x.x et ping wapt.monsite.fr

Des idées ?

Grand Merci

Bonjour Stenon,

le pb le plus courant c'est que la chaine n'est pas complète dans le fichier /opt/wapt/waptserver/ssl/cert+CA-site.fr.pem. Vérifier bien que vous avez les certificats intermédiaires.

Cordialement,

Denis

Bonjour,

oui il semblerait que c'est le nom FQDN qui n'est pas dans mon cetificat car j'utilise un certificat wildcard. J'ai lu le post du 27 janvier 2022 et c'est la meme erreur.
comme je suis oblige d'utilise mon wildcard je deploierai l'agent via l'adresse IP dans ma GPO... et ca marche correctement.
merci pour votre aide
Cordialement
Samuel

Bonjour Samuel,

merci pour ton retour. J'ai fait un ticket en interne pour ce pb. Je passe le sujet en résolu en attendant.

Cordialement,

Denis

Forum Tranquil IT

[RESOLU] probleme certificat pour HTTPS

[RESOLU] probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS

Re: probleme certificat pour HTTPS