Bonjour,
j'essaye de mettre en place la vérification du certificat du serveur, en utilisant le certificat wildcard *.sainthilairederiez.fr provenant d'une autorité de certification (le certificat que l'on utilise pour tous nos serveur web).
Lorsque je fais la commande dans le cmd : wapt-get enable-check-certificate
J'ai l'erreur ci-dessous : C:\Users\administrateur.SHR>wapt-get enable-check-certificate 2018-10-12 10:52:46,414 WARNING Warning, certificate CN *. sainthilairederiez.fr sent by server does not match URL host wapt.sainthilairederiez.fr FATAL ERROR : IOError: [Errno 22] invalid mode ('wb') or filename: u'C:\Program Files (x86)\wapt\ssl\server\*.sainthilairederiez.fr.crt'
A pirori, *.sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr
Première question, est-ce que les wildcard sont supportés ? Où faut-il avoir le certificat FQDN exacte wapt.sainthilairederiez.fr ?
J'ai regarder la section de documentation "Problème lors du enable-check-certificate" qui relève bien le problème que je rencontre. Mais la doc dit "*Si votre valeur est correcte, cela signifie sûrement qu’une erreur est survenue lors de la génération du certificat autosigné par le post conf, une faute de frappe …*" Hors je ne suis pas avec le certificat autosigné mais avec le certificat wildcard de mon organisation que j'ai ajouté après la postconf.
Pouvez-vous m'aider à savoir pourquoi WAPT me dis que *. sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr ?
Merci.
Cordialement.
Sébastien Mairie de Saint-Hilaire-de-Riez
La commande enable-check-certificate est prévue pour le cas simple d'un certificat autosigné sur le serveur. Et on nomme le certificat avec son CN par commodité. Dans le cas d'un wildcard... le CN n'est pas un nom correct.
Vous pouvez avoir le même résultat en copiant votre wildcard (avec un nom qui vous convient, par exemple "sainthilairederiez.fr.crt") dans le répertoireC:\Program Files (x86)\wapt\ puis modifier C:\Program Files (x86)\wapt\wapt-get.ini en ajoutant dans la section [global] :
verify_cert=C:\Program Files (x86)\wapt\sainthilairederiez.fr.crt
Normalement les wildcards sont supportés pour l'attibut CN (Common Name) (on en utilise ici). Par contre on ne supporte pas les certificats avec plusieurs sujets (Subject Alternative Name)
Le 12/10/2018 à 11:14, sainthilairederiez mairie a écrit :
Bonjour,
j'essaye de mettre en place la vérification du certificat du serveur, en utilisant le certificat wildcard *.sainthilairederiez.fr http://sainthilairederiez.fr provenant d'une autorité de certification (le certificat que l'on utilise pour tous nos serveur web).
Lorsque je fais la commande dans le cmd : wapt-get enable-check-certificate
J'ai l'erreur ci-dessous : C:\Users\administrateur.SHR>wapt-get enable-check-certificate 2018-10-12 10:52:46,414 WARNING Warning, certificate CN *.sainthilairederiez.fr http://sainthilairederiez.fr sent by server does not match URL host wapt.sainthilairederiez.fr http://wapt.sainthilairederiez.fr FATAL ERROR : IOError: [Errno 22] invalid mode ('wb') or filename: u'C:\Program Files (x86)\wapt\ssl\server\*.sainthilairederiez.fr.crt'
A pirori, *.sainthilairederiez.fr http://sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr http://wapt.sainthilairederiez.fr
Première question, est-ce que les wildcard sont supportés ? Où faut-il avoir le certificat FQDN exacte wapt.sainthilairederiez.fr http://wapt.sainthilairederiez.fr ?
J'ai regarder la section de documentation "Problème lors du enable-check-certificate" qui relève bien le problème que je rencontre. Mais la doc dit "/Si votre valeur est correcte, cela signifie sûrement qu’une erreur est survenue lors de la génération du certificat autosigné par le post conf, une faute de frappe …/" Hors je ne suis pas avec le certificat autosigné mais avec le certificat wildcard de mon organisation que j'ai ajouté après la postconf.
Pouvez-vous m'aider à savoir pourquoi WAPT me dis que *.sainthilairederiez.fr http://sainthilairederiez.fr ne correspond pas à wapt.sainthilairederiez.fr http://wapt.sainthilairederiez.fr ?
Merci.
Cordialement.
Sébastien Mairie de Saint-Hilaire-de-Riez
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt