Activer la vérification du certificat SSL / TLS¶
Lorsque le script post-configuration est lancé sur le serveur WAPT, le script va générer un certificat auto-signé afin d’activer les communications HTTPS.
L’agent WAPT vérifie que le certificat du serveur renseigné dans l’option verify_cert
de la section [global]
dans le fichier C:\Program Files (x86)\wapt\wapt-get.ini
corresponde.
Options pour « verify_cert » |
Principe de fonctionnement de l’agent WAPT |
---|---|
|
l’agent WAPT ne vérifiera pas le certificat HTTPS du serveur WAPT |
|
l’agent WAPT vérifiera le certificat HTTPS du serveur avec le bundle de certificats |
|
l’agent WAPT vérifiera le certificat HTTPS du serveur WAPT avec le bundle de certificats |
Indication
Pour activer rapidement et simplement la vérification du certificat htts, vous pouvez utiliser la méthode d”Épinglage
Épingler le certificat¶
L”épinglage de certificat consiste à vérifier le certificat SSL/ TLS à l’aide de la définition d’un paquet bien défini et restrictif.
Indication
Cette méthode est la plus simple concernant les certificats auto-signés.
Pour cela, vous aurez besoin de lancer la commande suivante dans la console Windows cmd.exe (avec élévation de privilèges si les UAC sont activées).
Si vous avez déjà une console Windows cmd.exe d’ouverte, fermez-là et ouvrez-en une nouvelle afin de prendre en compte la mise à jour des variables d’environnement:
wapt-get enable-check-certificate
net stop waptservice
net start waptservice
Validez le certificat avec wapt-get update
Lorsque vous avez exécuté la commande update, assurez-vous que tout ce soit bien déroulé et en cas de doute, vérifiez Problème lors du enable-check-certificate.
Note
La commande enable-check-certificate va télécharger le certificat
srvwapt.mydomain.lan.crt
dans le dossierC:\Program Files (x86)\WAPT\ssl\server
;cela va alors modifier le fichier
wapt-get.ini
avec de spécifiée la valeurverify_cert
=C:\Program Files (x86)\wapt\ssl\server\srvwapt.mydomain.lan.crt
;l’agent WAPT va désormais vérifier les certificats en utilisant le certificat épinglé;
Attention
Si vous utilisez la méthode d”épinglage de certificat, n’oubliez pas de sauvegarder le dossier /opt/wapt/waptserver/ssl
sur votre serveur WAPT.
Le fichier devra être restauré sur votre serveur si vous migrez ou mettez à jour votre seveur WAPT, si vous voulez que les agents WAPT continuent d’avoir une connexion HTTPS sécurisée.
Comment utiliser le ou les certificat(s) founi(s) par votre organisation ?¶
Si la méthode d’épinglage ne vous convient pas, vous pouvez remplacer le certificat auto-signé généré pendant l’installation de WAPT.
Remplacez l’ancien certificat avec le nouveau dans le dossier /opt/wapt/waptserver/ssl/
(linux) ou c:\wapt\waptserver\ssl\
(windows).
La nouvelle paire de clé doit être une PEM encodée en Base64
Note
Cas spécifique où votre certificat a été signé par un Certificat d’Authorité interne
Les certificats issus d’un Autorité de Certification interne doit avoir la chaîne complète jusqu’au Autorité de Certification.
Vous pouvez ajouter la chaîne du Certificat d’Authorité manuellement au certificat qui sera utilisé par Nginx. »
Exemple : echo srvwapt.mydomain.lan.crt ca.crt > cert.pem
Pour les serveurs Linux, il est nécessaire d’aussi réinitialiser les ACLs:
#Debian:
chown root:www-data /opt/wapt/waptserver/ssl/*.pem
#Centos:
chown root:nginx /opt/wapt/waptserver/ssl/*.pem
redémarrer Nginx pour qu’il prenne en compte les nouveaux certificats;
Linux:
systemctl restart nginx
Windows:
net stop waptnginx net start waptnginx
Configurer l’agent WAPT¶
Pour un certificat commercial, vous pouvez paramétrer verify_cert
= 1 dans wapt-get.ini
.
Pour un certificat issu d’un Certificat d’Authorité interne, vous devez placer le certificat dans le dossier C:\Program Files (x86)\wapt\ssl\server\ca.crt
et renseigner le chemin du certificat dans verify_cert
dans le wapt-get.ini
. de l’agent.
Pour appliquer la nouvelle configuration à tout votre parc, vous pouvez regénérer unagent WAPT avec les options appropriées.
Vérifier les certificats dans la console WAPT¶
Lorsque la console WAPT se lance pour la première fois, elle va lire le contenu de C:\Program Files (x86)\WAPT\wapt-get.ini
et va créer son fichier de configuration dans C:\Users\admin\AppData\Local\waptconsole\waptconsole.ini
.
Cela va configurer correctement l’attribut verify_cert
pour les communications HTTPS entre la console WAPT et le serveur WAPT.