La commande enable-check-certificate est prévue pour le cas simple d'un certificat autosigné sur le serveur.
Et on nomme le certificat avec son CN par commodité.
Dans le cas d'un wildcard... le CN n'est pas un nom correct.

Vous pouvez avoir le même résultat en copiant votre wildcard (avec un nom qui vous convient, par exemple  "sainthilairederiez.fr.crt")
dans le répertoireC:\Program Files (x86)\wapt\
puis modifier C:\Program Files (x86)\wapt\wapt-get.ini en  ajoutant dans la section [global] :

  verify_cert=C:\Program Files (x86)\wapt\sainthilairederiez.fr.crt

Normalement les wildcards sont supportés pour l'attibut CN (Common Name) (on en utilise ici). Par contre on ne supporte pas les certificats avec plusieurs sujets (Subject Alternative Name)


Le 12/10/2018 à 11:14, sainthilairederiez mairie a écrit :
Bonjour,

j'essaye de mettre en place la vérification du certificat du serveur, en utilisant le certificat wildcard *.sainthilairederiez.fr provenant d'une autorité de certification (le certificat que l'on utilise pour tous nos serveur web).

Lorsque je fais la commande dans le cmd :
wapt-get enable-check-certificate

J'ai l'erreur ci-dessous :
C:\Users\administrateur.SHR>wapt-get enable-check-certificate
2018-10-12 10:52:46,414 WARNING Warning, certificate CN *.sainthilairederiez.fr
sent by server does not match URL host wapt.sainthilairederiez.fr
FATAL ERROR : IOError: [Errno 22] invalid mode ('wb') or filename: u'C:\\Program
 Files (x86)\\wapt\\ssl\\server\\*.sainthilairederiez.fr.crt'

A pirori, *.sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr

Première question, est-ce que les wildcard sont supportés ? Où faut-il avoir le certificat FQDN exacte wapt.sainthilairederiez.fr ?

J'ai regarder la section de documentation "Problème lors du enable-check-certificate" qui relève bien le problème que je rencontre.
Mais la doc dit "Si votre valeur est correcte, cela signifie sûrement qu’une erreur est survenue lors de la génération du certificat autosigné par le post conf, une faute de frappe …"
Hors je ne suis pas avec le certificat autosigné mais avec le certificat wildcard de mon organisation que j'ai ajouté après la postconf.

Pouvez-vous m'aider à savoir pourquoi WAPT me dis que *.sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr ?

Merci.

Cordialement.

Sébastien
Mairie de Saint-Hilaire-de-Riez

_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt