Bonjour,
On a installer un serveur debian 9 avec wapt en 1.7.3.11. Généré le cetificat avec postconf
Et maintenant à chaque construction de paquet, on a :
C:\wapt\lib\site-packages\urllib3\connection.py:362: SubjectAltNameWarning: Certificate for wapt2.insa-rennes.fr has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.) SubjectAltNameWarning
Comment faire pour ajouter SubjectAltName dans le certificat ?
Cordialement,
Frédéric GARESCHÉ Équipe Assistance et Exploitation Direction du Système d'Information (D.S.I) Correspondant Département EII et laboratoire IETR Tél. : +33 (0)2 23 2 3 82 81 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
Effectivement, dans le posconf serveur linux, le certificat n'a pas de subjectAltName. Vous pouvez recréer la clé et le certificat pour le nginx sur le serveur avec la commande (une seule ligne !) :
openssl req -new -x509 -newkey rsa:2048 -nodes -days 3650 -out /opt/wapt/waptserver/ssl/cert.pem -keyout /opt/wapt/waptserver/ssl/key.pem -subj /C=FR/ST=Wapt/L=Wapt/O=Wapt/CN=wapt2.insa-rennes.fr -reqexts SAN -extensions SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:wapt2.insa-rennes.fr"))
Je corrige le script en conséquence pour les prochaines versions...
Le 02/04/2019 à 09:04, Frederic Garesche a écrit :
Bonjour,
On a installer un serveur debian 9 avec wapt en 1.7.3.11. Généré le cetificat avec postconf
Et maintenant à chaque construction de paquet, on a :
C:\wapt\lib\site-packages\urllib3\connection.py:362: SubjectAltNameWarning: Certificate for wapt2.insa-rennes.fr has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.) SubjectAltNameWarning
Comment faire pour ajouter SubjectAltName dans le certificat ?
Cordialement,
*Frédéric GARESCHÉ
*Équipe Assistance et Exploitation
*Direction du Système d'Information (D.S.I)* *Correspondant Département EII et laboratoire IETR *Tél. : +33 (0)2 23 2*3 82 81* 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
le build 5998 hash(3fe6476d) en nightly corrige ce problème.
il faut effacer les clé et certificat du nginx avant de lancer le postconf.sh
cd rm tis-waptserver*.deb tis-waptsetup*.deb wget https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptser... wget https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptset... dpkg -i tis-waptserver*.deb dpkg -i tis-waptsetup*.deb rm /opt/wapt/waptserver/ssl/*.pem /opt/wapt/waptserver/scripts/postconf.sh
# verif openssl x509 -in /opt/wapt/waptserver/ssl/cert.pem -text -noout
Le 03/04/2019 à 11:49, Hubert TOUVET a écrit :
Effectivement, dans le posconf serveur linux, le certificat n'a pas de subjectAltName. Vous pouvez recréer la clé et le certificat pour le nginx sur le serveur avec la commande (une seule ligne !) :
openssl req -new -x509 -newkey rsa:2048 -nodes -days 3650 -out /opt/wapt/waptserver/ssl/cert.pem -keyout /opt/wapt/waptserver/ssl/key.pem -subj /C=FR/ST=Wapt/L=Wapt/O=Wapt/CN=wapt2.insa-rennes.fr -reqexts SAN -extensions SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:wapt2.insa-rennes.fr"))
Je corrige le script en conséquence pour les prochaines versions...
Le 02/04/2019 à 09:04, Frederic Garesche a écrit :
Bonjour,
On a installer un serveur debian 9 avec wapt en 1.7.3.11. Généré le cetificat avec postconf
Et maintenant à chaque construction de paquet, on a :
C:\wapt\lib\site-packages\urllib3\connection.py:362: SubjectAltNameWarning: Certificate for wapt2.insa-rennes.fr has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.) SubjectAltNameWarning
Comment faire pour ajouter SubjectAltName dans le certificat ?
Cordialement,
*Frédéric GARESCHÉ
*Équipe Assistance et Exploitation
*Direction du Système d'Information (D.S.I)* *Correspondant Département EII et laboratoire IETR *Tél. : +33 (0)2 23 2*3 82 81* 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
Bonjour,
J'ai fait la modification mais j'ai un problème. Maintenant les anciens agents ne dialogue plus. J'ai l'erreur : certificate check failed
Que faire ?
Cordialement,
Frédéric GARESCHÉ Équipe Assistance et Exploitation Direction du Système d'Information (D.S.I) Correspondant Département EII et laboratoire IETR Tél. : +33 (0)2 23 2 3 82 81 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
[ https://www.insa-rennes.fr/ ]
De: "Hubert TOUVET" htouvet@tranquil.it À: "wapt" wapt@lists.tranquil.it Envoyé: Mercredi 3 Avril 2019 18:38:34 Objet: Re: [Wapt] warning no `subjectAltName` certificat lors de la création de paquets wapt 1.7.4
le build 5998 hash(3fe6476d) en nightly corrige ce problème.
il faut effacer les clé et certificat du nginx avant de lancer le postconf.sh
cd rm tis-waptserver*.deb tis-waptsetup*.deb wget [ https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptser... | https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptser... ] wget [ https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptset... | https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptset... ] dpkg -i tis-waptserver*.deb dpkg -i tis-waptsetup*.deb rm /opt/wapt/waptserver/ssl/*.pem /opt/wapt/waptserver/scripts/postconf.sh
# verif openssl x509 -in /opt/wapt/waptserver/ssl/cert.pem -text -noout
Le 03/04/2019 à 11:49, Hubert TOUVET a écrit :
Effectivement, dans le posconf serveur linux, le certificat n'a pas de subjectAltName. Vous pouvez recréer la clé et le certificat pour le nginx sur le serveur avec la commande (une seule ligne !) :
openssl req -new -x509 -newkey rsa:2048 -nodes -days 3650 -out /opt/wapt/waptserver/ssl/cert.pem -keyout /opt/wapt/waptserver/ssl/key.pem -subj /C=FR/ST=Wapt/L=Wapt/O=Wapt/CN=wapt2.insa-rennes.fr -reqexts SAN -extensions SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:wapt2.insa-rennes.fr"))
Je corrige le script en conséquence pour les prochaines versions...
Le 02/04/2019 à 09:04, Frederic Garesche a écrit :
BQ_BEGIN
Bonjour,
On a installer un serveur debian 9 avec wapt en 1.7.3.11. Généré le cetificat avec postconf
Et maintenant à chaque construction de paquet, on a :
C:\wapt\lib\site-packages\urllib3\connection.py:362: SubjectAltNameWarning: Certificate for wapt2.insa-rennes.fr has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See [ https://github.com/shazow/urllib3/issues/497 | https://github.com/shazow/urllib3/issues/497 ] for details.) SubjectAltNameWarning
Comment faire pour ajouter SubjectAltName dans le certificat ?
Cordialement,
Frédéric GARESCHÉ Équipe Assistance et Exploitation Direction du Système d'Information (D.S.I) Correspondant Département EII et laboratoire IETR Tél. : +33 (0)2 23 2 3 82 81 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
[ https://www.insa-rennes.fr/ ]
_______________________________________________ WAPT mailing list [ mailto:WAPT@lists.tranquil.it | WAPT@lists.tranquil.it ] [ http://lists.tranquil.it/listinfo/wapt | http://lists.tranquil.it/listinfo/wapt ]
_______________________________________________ WAPT mailing list [ mailto:WAPT@lists.tranquil.it | WAPT@lists.tranquil.it ] [ http://lists.tranquil.it/listinfo/wapt | http://lists.tranquil.it/listinfo/wapt ]
BQ_END
_______________________________________________ WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
SI la vérification du certificat est activée. effectivement, ce n'est plus le même certificat ni clé privée, donc il faut lors de la construction de l'agent personnalisé récupérer le nouveau certificat serveur (vous pouvez le faire depuis le dialogue avec un clic droit sur la zone Chemin vers le bundle de CA serveurs https :
Le 04/04/2019 à 14:59, Frederic Garesche a écrit :
Bonjour,
J'ai fait la modification mais j'ai un problème. Maintenant les anciens agents ne dialogue plus. J'ai l'erreur : certificate check failed
Que faire ?
Cordialement,
*Frédéric GARESCHÉ
*Équipe Assistance et Exploitation
*Direction du Système d'Information (D.S.I)* *Correspondant Département EII et laboratoire IETR *Tél. : +33 (0)2 23 2*3 82 81* 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
*De: *"Hubert TOUVET" htouvet@tranquil.it *À: *"wapt" wapt@lists.tranquil.it *Envoyé: *Mercredi 3 Avril 2019 18:38:34 *Objet: *Re: [Wapt] warning no `subjectAltName` certificat lors de la création de paquets wapt 1.7.4
le build 5998 hash(3fe6476d) en nightly corrige ce problème.
il faut effacer les clé et certificat du nginx avant de lancer le postconf.sh
cd rm tis-waptserver*.deb tis-waptsetup*.deb wget https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptser... wget https://wapt.tranquil.it/wapt/nightly/wapt-1.7.4.0-5998-3fe6476d/tis-waptset... dpkg -i tis-waptserver*.deb dpkg -i tis-waptsetup*.deb rm /opt/wapt/waptserver/ssl/*.pem /opt/wapt/waptserver/scripts/postconf.sh
# verif openssl x509 -in /opt/wapt/waptserver/ssl/cert.pem -text -noout
Le 03/04/2019 à 11:49, Hubert TOUVET a écrit :
Effectivement, dans le posconf serveur linux, le certificat n'a pas de subjectAltName. Vous pouvez recréer la clé et le certificat pour le nginx sur le serveur avec la commande (une seule ligne !) : openssl req -new -x509 -newkey rsa:2048 -nodes -days 3650 -out /opt/wapt/waptserver/ssl/cert.pem -keyout /opt/wapt/waptserver/ssl/key.pem -subj /C=FR/ST=Wapt/L=Wapt/O=Wapt/CN=wapt2.insa-rennes.fr -reqexts SAN -extensions SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:wapt2.insa-rennes.fr")) Je corrige le script en conséquence pour les prochaines versions... Le 02/04/2019 à 09:04, Frederic Garesche a écrit : Bonjour, On a installer un serveur debian 9 avec wapt en 1.7.3.11. Généré le cetificat avec postconf Et maintenant à chaque construction de paquet, on a : C:\wapt\lib\site-packages\urllib3\connection.py:362: SubjectAltNameWarning: Certificate for wapt2.insa-rennes.fr has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.) SubjectAltNameWarning Comment faire pour ajouter SubjectAltName dans le certificat ? Cordialement, *Frédéric GARESCHÉ * *Équipe Assistance et Exploitation * *Direction du Système d'Information (D.S.I)* *Correspondant Département EII et laboratoire IETR *Tél. : +33 (0)2 23 2*3 82 81* 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7 <https://www.insa-rennes.fr> _______________________________________________ WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt _______________________________________________ WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
Oui les agents vérifient le certificat. Du coup, j'ai recréé le nouvel agent en décochant la case "vérifier le certificat serveur" en conservant le nouveau certificat serveur Puis j'ai remis les anciens /opt/wapt/waptserver/ssl/cert.pem et /opt/wapt/waptserver/ssl/key.pem sur le serveur
Comme ça les anciens agents communiquent avec le serveur et le nouvel agent aussi. J'attendrai que tous mes postes passent avec le nouvel agent pour réactiver la vérification du certificat serveur avec les nouveaux cert.pem et key.pem.
Je vais garder un bon moment le warning ^^'
Cordialement,
Frédéric GARESCHÉ Équipe Assistance et Exploitation Direction du Système d'Information (D.S.I) Correspondant Département EII et laboratoire IETR Tél. : +33 (0)2 23 2 3 82 81 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
[ https://www.insa-rennes.fr/ ]
De: "Hubert TOUVET" htouvet@tranquil.it À: "Frederic Garesche" Frederic.Garesche@insa-rennes.fr Cc: "wapt" wapt@lists.tranquil.it Envoyé: Jeudi 4 Avril 2019 15:44:06 Objet: Re: [Wapt] warning no `subjectAltName` certificat lors de la création de paquets wapt 1.7.4
SI la vérification du certificat est activée. effectivement, ce n'est plus le même certificat ni clé privée, donc il faut lors de la construction de l'agent personnalisé récupérer le nouveau certificat serveur (vous pouvez le faire depuis le dialogue avec un clic droit sur la zone Chemin vers le bundle de CA serveurs https :
Le 04/04/2019 à 14:59, Frederic Garesche a écrit :
Bonjour,
J'ai fait la modification mais j'ai un problème. Maintenant les anciens agents ne dialogue plus. J'ai l'erreur : certificate check failed
Que faire ?
Cordialement,
Frédéric GARESCHÉ Équipe Assistance et Exploitation Direction du Système d'Information (D.S.I) Correspondant Département EII et laboratoire IETR Tél. : +33 (0)2 23 2 3 82 81 20 avenue des Buttes de Coësmes CS 70839 - 35 708 RENNES Cedex 7
-
Frederic Garesche -
Hubert TOUVET