Page 1 sur 3
[RESOLU] SSL sur dépôt secondaire WAPTHttpServer
Publié : 29 janv. 2026 - 14:55
par sterobo
Bonjour,
Je ne parvient pas à faire fonctionner un dépôt secondaire en https avec WAPTHttpServer (Windows, wapt 2.6.1.17472)
Ma configuration utilise une AC renseigné dans "verify_cert", qui signe le serveur principal (tout fonctionne correctement pour lui, mais il n'utilise sans doute pas WAPTHttpServer)
Le certificat du dépôt secondaire utilise la même AC, le dépôt secondaire semble bien accessible en https (via un navigateur, tout est OK, l'AC est la même que celle configurée dans verify_cert) mais j'ai l'erreur suivante lors d'un wapt-get update :
Code : Tout sélectionner
ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
La règle de dépôt semble correcte (en http elle fonctionnait et le serveur était accessible)
Les logs de wapt, coté dépôt secondaire, indiquent bien des accès lors des tests avec un navigateur (access443.log) mais le fichier error443.log reste désespérément vide...
J'ai lu les posts et la doc qui abordent ces sujets mais là je sèche un peu...
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 29 janv. 2026 - 15:41
par sfonteneau
Bonjour
Pour bien comprendre vous avez bien créer un certificat dédier au dépôt secondaire issue de votre AC ?
Vous avez ensuite modifier la conf de votre wapthttpserver pour mettre cette nouvelle paire de certificat ?
Le certificat coter dépôt secondaire est bien la fullchain ?
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 30 janv. 2026 - 12:12
par sterobo
Bonjour, merci pour votre réponse.
C'est oui pour les deux premières questions mais il faut que je vérifie pour le fullchain mais je pense que non. Je vais chercher de ce côté.
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 30 janv. 2026 - 14:20
par sfonteneau
Il faut vérifier aussi que dans wapt-get.ini
verify_cert pointe bien vers la CA Root ou l'inter mais pas sur le certificat final du serveur
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 09:55
par sterobo
Merci pour ces réponses.
J'ai vérifié wapt-get.ini, mais j'ai a priori la même erreur avec la fullchain.
Les accès via le navigateur ou même de la console (si je définis le secondaire en tant que dépôt principal) sont bien visibles dans access443.log mais toujours rien dans error443.log et wapt-get update échoue toujours.
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 10:50
par sfonteneau
Que donne un:
wapt-get update --force -ldebug ?
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 11:19
par sterobo
La même erreur revient de multiple fois :
Code : Tout sélectionner
...
2026-02-02 10:59:39,319 DEBUG Checking availability of https://<fqdn dépôt secondaire>/wapt/Packages
2026-02-02 10:59:39,319 DEBUG Starting new HTTPS connection (1): <fqdn dépôt secondaire>:443
2026-02-02 10:59:39,319 ERROR Certificate check failed for https://<fqdn dépôt secondaire>/wapt/Packages and verify_cert C:\Program Files (x86)\wapt\ssl\server\ca.crt
2026-02-02 10:59:39,319 CRITICAL The rule <nom de règle> failed for repo wapt with repo_url https://<fqdn dépôt secondaire>/wapt : HTTPSConnectionPool(host='<fqdn dépôt secondaire>', port=443): Max retries exceeded with url: /wapt/Packages (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)')))
...
Mais ce qui m'intrigue c'est que rien n'est présent dans error443.log, comme si la connexion n'était même pas tentée par wapt-get.
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 13:01
par sfonteneau
Vous n'allez rien voir coter dépôt secondaire car c'est l'agent qui refuser la connexion https car il considère que le bundle n'est pas valide.
Vous pouvez essayer en pure python:
Code : Tout sélectionner
C:\Windows\System32>wapt-get shell
Python 3.11.14 (main, Dec 18 2025, 13:46:39) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
(InteractiveConsole)
>>> import requests
>>> requests.get('https://reposecondaire.mydomain.lan',verify=r'C:\Program Files (x86)\wapt\ssl\server\ca.crt').content
Mais il devrais répondre :
Code : Tout sélectionner
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1017)
Si ça marche avec votre navigateur il doit manquer soit la full chain coter serveur (intermédiaire est manquant)
Soit que le chemin : C:\Program Files (x86)\wapt\ssl\server\ca.crt ne pointe pas vers la ca mais vers un certificat final (pinning)
Avez-vous bien redémarrer le serveur http du dépôt secondaire après avoir mis la fullchain sur le dépôt secondaire ?
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 13:21
par sterobo
Ok merci ! (je ne connaissais pas wapt-get shell
)
Pas de pinning et service redémarré, mais j'ai vérifié le fullchain et a priori il y avait une inversion de l'ordre des certificats (j'avais récupéré la fullchain du navigateur). Ça fonctionne maintenant ! Merci beaucoup pour votre aide !
Edit : en fait non, pas d'inversion, plus d'erreur parce que plus accessible et qu'il passait sur le fallback...
Re: SSL sur dépôt secondaire WAPTHttpServer
Publié : 02 févr. 2026 - 13:45
par sfonteneau
ça marche avec la commande curl ?
Code : Tout sélectionner
curl https://reposecondaire.mydomain.lan --cacert "C:\Program Files (x86)\wapt\ssl\server\ca.crt"