Activer la vérification du certificat SSL / TLS

Attention

Il est important d’effectuer ces actions avant de lancer la console WAPT !!

The WAPT agent checks the HTTPS server certificate according to the verify_cert value in section [global] in C:\Program Files (x86)\wapt\wapt-get.ini.

Valeurs de « verify_cert »
Valeur de verify_cert Comportement de l’agent WAPT
verify_cert = 0 l’agent WAPT ne vérifiera pas le certificat HTTPS du serveur WAPT
verify_cert = 1 the WAPT agent will check the WAPT Server HTTPS certificate using the certificate bundle C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt
verify_cert = C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt the WAPT agent will check the WAPT Server HTTPS certificate with the certificate bundle C:\Program Files (x86)\wapt\lib\site-packages\certifi\cacert.pem

Indication

Pour les certificats commerciaux, il est conseillé de faire de l’épinglage pour plus de sécurité.

Deux méthodes sont possibles pour vérifier le certificat SSL / TLS :

  • par défaut (verify_cert = 1) à l’aide du bundle de certificats contenu en standard dans le module Python certifi : C:Program Files (x86)waptlibsite-packagescertificacert.pem ;
  • en utilisant le pinning de certificat en spécifiant un bundle précis qui sera téléchargé et activé à l’aide de la commande : wapt-get enable-check-certificate ;

Epingler le certificat

L”épinglage de certificats consiste à vérifier le certificat SSL / TLS à partir d’un bundle défini et restreint, plutôt que de s’appuyer sur les bundle de CA du magasin de certificats livré en standard avec Windows ou bien avec votre distribution Linux.

Indication

Cette configuration est utile même si vous utilisez un certificat généré par un tiers de confiance.

En indiquant un bundle avec la commande enable-check-certificate, vous réduisez la liste des émetteurs de confiance que vous autorisez.

L’épinglage de certificats obtenus auprès d’une Autorité de Certification reconnue par l’Organisation est la méthode recommandée.

Pour cela vous devez lancer les commandes suivantes dans un shell cmd.exe (avec élévation de privilège si l’UAC est activée).

Si vous avez déjà un cmd.exe ouvert, fermez le et ouvrez en un nouveau pour prendre en compte la mise à jour des variables d’environment %PATH%.

wapt-get enable-check-certificate
net stop waptservice
net start waptservice

Modify (C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt) to add inside it the certificate of the “Certificate Authority:

-----BEGIN CERTIFICATE-----
MIIFcjCCBFqgAwIBAgIQZvmdd8Fe0dhWbVj+l8GrrDANBgkqhkiG9w0BAQsFADCB
kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G

.......             WAPT server certificate              .......

WYmTeGzHxODu0TPOUwoRJu0v/Q75/HzXt9mqmJLVS5UR3qcas0fXvtYOLkuJ4xe1
5T51oFRQ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBv
MQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFk

.......     certificate of the Certificate Authority     .......

PUsE2JOAWVrgQSQdso8VYFhH2+9uRv0V9dlfmrPb2LjkQLPNlzmuhbsdjrzch5vR
pu/xO28QOG8=
-----END CERTIFICATE-----

Vérifier que la validation est effective en utilisant la commande :

wapt-get update

Lorsque vous avez executé la commande update, assurez vous que tout s’est bien déroulé, sinon visitez Problème lors du enable-check-certificate.

Note

the command enable-check-certificate downloads the certificate srvwapt.mydomain.lan.crt in the folder C:\Program Files (x86)\WAPT\ssl ;

it then modifies the file wapt-get.ini to specify the value verify_cert = C:\Program Files (x86)\wapt\ssl\srvwapt.mydomain.lan.crt ;

L’agent WAPT vérifiera désormais le certificat SSL / TLS avec le bundle de certificats épinglés ;

Attention

Si vous faites de l”épinglagle de certificat, pensez bien à sauvegarder le dossier /opt/wapt/waptserver/ssl du serveur WAPT.

En effet il vous faudra le restaurer sur votre serveur et cas de migration ou de restauration pour que les client puissent vérifier la connexion HTTPS avec le serveur.

Vérification du cert

Certificat dans la console WAPT

When the WAPT console first starts, it reads the content of C:\Program Files (x86)\WAPT\wapt-get.ini and it builds its configuration file C:\Users\admin\AppData\Local\waptconsole\waptconsole.ini.

On retrouve la ligne verify_cert dans le fichier waptconsole.ini qui définit comment la console WAPT vérifie le certificat SSL / TLS du serveur WAPT.

Vous pouvez maintenant passer à la suite de la configuration en lançant la console WAPT.