Activer la vérification du certificat SSL / TLS

Attention

Il est important d’effectuer ces actions avant de lancer la console WAPT !!

L’agent vérifie le certificat SSL / TLS du serveur en fonction de la valeur de verify_cert dans la section [global] du fichier C:\Program Files (x86)\wapt\wapt-get.ini.

Indication

Pour les certificats commerciaux, il est conseillé de faire de l’épinglage pour plus de sécurité.

Deux méthodes sont possibles pour vérifier le certificat SSL / TLS :

  • par défaut (verify_cert = 1) à l’aide du bundle de certificats contenu en standard dans le module Python certifi : C:Program Files (x86)waptlibsite-packagescertificacert.pem ;
  • en utilisant le pinning de certificat en spécifiant un bundle précis qui sera téléchargé et activé à l’aide de la commande : wapt-get enable-check-certificate ;

Epingler le certificat

L”épinglage de certificats consiste à vérifier le certificat SSL / TLS à partir d’un bundle défini et restreint, plutôt que de s’appuyer sur les bundle de CA du magasin de certificats livré en standard avec Windows ou bien avec votre distribution Linux.

Indication

Cette configuration est utile même si vous utilisez un certificat généré par un tiers de confiance.

En indiquant un bundle avec la commande enable-check-certificate, vous réduisez la liste des émetteurs de confiance que vous autorisez.

L’épinglage de certificats obtenus auprès d’une Autorité de Certification reconnue par l’Organisation est la méthode recommandée.

Pour cela vous devez lancer les commandes suivantes dans un shell cmd.exe (avec élévation de privilège si l’UAC est activée).

Si vous avez déjà un cmd.exe ouvert, fermez le et ouvrez en un nouveau pour prendre en compte la mise à jour des variables d’environment %PATH%.

wapt-get enable-check-certificate
net stop waptservice
net start waptservice

Modifier le certificat obtenu (C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt) pour y ajouter le certificat de l”Autorité de Certification :

-----BEGIN CERTIFICATE-----
MIIFcjCCBFqgAwIBAgIQZvmdd8Fe0dhWbVj+l8GrrDANBgkqhkiG9w0BAQsFADCB
kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G

.......             WAPT server certificate              .......

WYmTeGzHxODu0TPOUwoRJu0v/Q75/HzXt9mqmJLVS5UR3qcas0fXvtYOLkuJ4xe1
5T51oFRQ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBv
MQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFk

.......     certificate of the Certificate Authority     .......

PUsE2JOAWVrgQSQdso8VYFhH2+9uRv0V9dlfmrPb2LjkQLPNlzmuhbsdjrzch5vR
pu/xO28QOG8=
-----END CERTIFICATE-----

Vérifier que la validation est effective en utilisant la commande :

wapt-get update

Lorsque vous avez executé la commande update, assurez vous que tout s’est bien déroulé, sinon visitez Problème lors du enable-check-certificate.

Note

La commande enable-check-certificate permet de télécharger le certificat srvwapt.mydomain.lan.crt dans le répertoire C:\Program Files (x86)\wapt\ssl ;

Elle inscrit ensuite dans le fichier wapt-get.ini la valeur verify_cert = C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt ;

L’agent WAPT vérifiera désormais le certificat SSL / TLS avec le bundle de certificats épinglés ;

Attention

Si vous faites de l”épinglagle de certificat, pensez bien à sauvegarder le dossier /opt/wapt/waptserver/ssl du serveur WAPT.

En effet il vous faudra le restaurer sur votre serveur et cas de migration ou de restauration pour que les client puissent vérifier la connexion HTTPS avec le serveur.

Vérification du cert

Certificat dans la console WAPT

Lorsque la console WAPT démarre, elle lira le fichier de configuration de l’agent WAPT C:\Program Files (x86)\WAPT\wapt-get.ini pour construire le fichier de configuration de la console WAPT C:\Users\admin\AppData\Local\waptconsole\waptconsole.ini.

On retrouve la ligne verify_cert dans le fichier waptconsole.ini qui définit comment la console WAPT vérifie le certificat SSL / TLS du serveur WAPT.

Vous pouvez maintenant passer à la suite de la configuration en lançant la console WAPT.