3. FAQ - Console

3.1. Mon certificat ne fonctionne pas sur cet ordinateur

Vous essayez d’effectuer une mise à jour, d’envoyer un message ou d’ajouter un paquet, mais vous rencontrez l’erreur suivante :

Error on client: EWaptCertificateUntrustedIssuer(“Issuer CA certificate CN=XXXX,C=FR can not be found in supplied bundle”)

Ou cette photo :

EWaptCertificateUntrustedIssuer

Comment résoudre le problème :

  1. Vérifiez le certificat :

Assurez-vous que le certificat utilisé par votre console est valide et reconnu par la machine cible.

Allez dans Outils > Préférences et vérifiez le « Chemin d’accès au certificat personnel ».

  1. Vérifier les certificats de confiance de la machine :

Sur l’ordinateur cible, ouvrez l’onglet « Certificats ».

Vérifiez que votre certificat (ou l’autorité de signature associée) figure bien dans la liste des certificats de confiance.

  1. Pour y remédier :

Si votre certificat n’est pas considéré comme reconnu, faites-le signer par une autorité de certification (CA) déjà approuvée par la machine.

Vous devez créer un ensemble de certificats et le signer à l’aide d’un certificat déjà approuvé par la machine.

Suivez la procédure de signature telle qu’elle est décrite dans le guide vidéo : https://www.youtube.com/watch?v=mdUcQSdPqQ4.

  1. Réessayer l’opération :

Après vous être assuré que le certificat est reconnu, réessayez la mise à jour, l’envoi de message ou l’ajout du paquet.

3.2. Message d’erreur concernant un paquet dans la Console WAPT

3.2.1. Error « File setup.py is not allowed in manifest of xxx »

Cette erreur signifie que le certificat actuellement utilisé n’est pas habilité à signer des paquets.

Les deux seules options disponibles sont :

1- Utilisez un autre certificat doté de droits de signature de code.

2- Régénérez un certificat en sélectionnant l’option signature de code (informations sur la création d’un certificat ici).

Signature de code pour un certificat

Signature de code pour un certificat

3.2.2. Problème avec la création de paquet

Fenêtre indiquant que le paquet téléchargé présente un problème de certificat de signature

Fenêtre indiquant que le paquet téléchargé présente un problème de certificat de signature

La Console WAPT affiche cette erreur : Erreur lors du téléchargement du paquet : EWaptForbidden('Host matching package UUID_HOST does not trusted signer certificate).

Cette erreur survient lorsque vous essayez de télécharger un paquet WAPT mais que le certificat utilisé pour signer le paquet n’est pas présent dans le dossier d’installation WAPT ssl sur votre ordinateur. Si vous avez un serveur Windows WAPT, n’oubliez pas de ne pas lancer la Console WAPT sur le serveur. Ajoutez le certificat WAPT qui a signé le paquet dans le dossier d’installation WAPT ssl de votre ordinateur, puis réessayez.

3.2.3. Erreur locale

Fenêtre montrant que la Console WAPT ne trouve pas un paquet

Fenêtre montrant que la Console WAPT ne trouve pas un paquet

La Console WAPT affiche cette erreur dans deux situations.

3.2.3.1. Le paquet n’existe plus dans le dépôt, hors une machine en a besoin

Deux solutions sont envisageables :

  • Essayer de récupérer un nouveau paquet dans le store de Tranquil IT.

  • Supprimer le paquet des dépendances de la machine.

3.2.3.2. Lorsque vous essayez d’installer un paquet avec une locale inconnue de la machine

Deux solutions sont envisageables :

  • Essayer de récupérer un nouveau paquet dans le store de Tranquil IT.

  • « Éditer le paquet WAPT et mettre dans le fichier control l’option locale avec la bonne locale (locale=en,fr).

3.3. Erreur lors de l’ouverture de la console WAPT

3.3.1. Vérifier la version

Fenêtre indiquant que la version de la Console WAPT est dépassée

La version de la Console WAPT n’est pas la même que celle du Serveur WAPT. Il est recommandé de mettre à jour la Console WAPT avec la même version que le Serveur WAPT.

3.3.2. Connexion refusée

La console WAPT ne parvient pas à joindre le port 443 du serveur :

  • Vérifier si le service Nginx est démarré sur le Serveur WAPT.

systemctl status nginx

  • Si Nginx n’est pas lancé, relancer Nginx.

systemctl restart nginx

  • Si le Nginx ne démarre toujours pas, vous devez analyser les fichiers de logs dans :

    • /var/log/Nginx/ sur Linux ;

    • C:\Program Files (x86)\wapt\waptserver\nginx\logs on Windows.

3.3.3. Service indisponible

Il est possible que le service du Serveur WAPT soit stoppé :

  • Vérifier si le service waptserver est en cours d’exécution.

systemctl status waptserver

  • Si la commande ne retourne rien, lancer le waptserver.

systemctl start waptserver

3.3.4. Erreur de connexion avec SSL … la vérification a échoué

La Console ne semble pas réussir à vérifier le certificat HTTPS du Serveur WAPT.

Attention

Attention, avant toute chose vérifiez que vous n’êtes pas victime d’une attaque abbr:MITM (Man in the Middle) !

Note

Si vous venez de refaire votre Serveur WAPT et que vous utilisez un certificat auto-signé, vous pouvez récupérer les anciennes clés de votre ancien serveur wapt dans /opt/wapt/waptserver/apache/ssl.

  • Fermer votre Console WAPT.

  • Supprimer le dossier %appdata%\..\Local\waptconsole.

  • Lancer ensuite la commande wapt-get enable-check-certificate.

  • Assurez-vous que la commande précédente s’est bien déroulée.

  • Redémarrer le service WAPT avec net stop waptservice && net start waptservice.

  • Relancer la Console WAPT.

Dans le cas ou vous ne pratiquez pas le certificate pinning, cela signifie que le certificat envoyé par le serveur ne pas être vérifié avec le bundle python certifi. Veillez à bien fournir la chaîne complète pour le certificat sur le Serveur WAPT.

3.3.5. Je ne peux rien faire dans la Console WAPT, tout est grisé

La Console WAPT semble verrouillée, vous ne pouvez exécuter aucune action, tout est grisé.

Si vous êtes connecté avec un autre utilisateur que le Superadmin, vos règles ACL peuvent ne pas être définies correctement sur votre profil.

Pour résoudre ce problème, fermer la Console WAPT et l’ouvrir à nouveau avec le compte Superadmin. Ensuite, aller dans Outils ‣ Gérer les utilisateurs et les droits WAPT. Ici, vous verrez l’utilisateur dans la liste, donner à l’utilisateur les permissions appropriées, puis enregistrer et fermer la Console WAPT. Ré-ouvrir la Console WAPT en utilisant votre login.

3.4. Gestion de l’emplacement des machines dans WAPT : Mise à jour de l’Unité d’Organisation (OU)

Le serveur WAPT ne détermine pas automatiquement l’emplacement d’une machine nouvellement déployée. Cette information est transmise par l’agent WAPT (installé sur la machine) au serveur, en fonction des données disponibles au moment de la communication.

La clée de la machine est ici : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyStateMachineDistinguished-Name

Cas d’une machine déplacée vers une nouvelle OU

Si la machine n’a pas encore reçu l’information indiquant qu’elle appartient à une nouvelle OU, elle transmet au serveur WAPT l’emplacement qu’elle connaît à ce moment-là (généralement l’ancienne OU).

Pour vérifier l’emplacement connu par la machine :

  • Dans la console WAPT, identifiez la machine concernée.

  • Se rendre dans l’onglet « inventaire matériel ».

  • Recherchez la clé computer_ad_dn sa valeur correspond à l’emplacement (OU) que la machine a communiqué au serveur.

Comment corriger l’emplacement de la machine

Si la valeur de computer_ad_dn correspond à l’ancienne unité d’organisation, il existe deux solutions pour forcer la mise à jour :

Via l’invite de commandes :

Exécutez la commande suivante sur la machine :

gpupdate /force

Via la console WAPT :

  • Sélectionnez le poste concerné.

  • Clic droit > Gestion de l’ordinateur Windows.

  • Choisissez Forcer la mise à jour des GPO sur la machine.

Une fois la mise à jour effectuée, la machine devrait apparaître dans la nouvelle unité d’organisation (OU) dans l’inventaire WAPT.

3.5. KBs Windows dupliqués ou obsolètes affiché dans WAPT

KBs Windows dupliqués dans WAPT

Ensuite, choisissez le certificat à associer à l’utilisateur.

Vous remarquerez peut-être que, sur un appareil Windows 11 fonctionnant sous la version 25H2, des mises à jour cumulatives destinées à des versions antérieures telles que 22H2, 23H2 ou 24H2 s’affichent dans l’onglet « Mises à jour Windows » de la console WAPT. À première vue, cela pourrait laisser penser que des mises à jour pour d’anciennes versions de Windows sont en cours d’installation sur l’appareil. Heureusement, ce n’est pas le cas.

Microsoft est conscient de ce problème et l’a reconnu sur ses forums d’assistance, bien que celui-ci n’ait pas encore été résolu :

Forum Microsoft: https://learn.microsoft.com/en-us/answers/questions/2157261/duplicate-cumulative-kb-windows-11-update-returns

Les informations affichées dans l’onglet « Mises à jour Windows » proviennent directement de l’agent Windows Update natif et ne sont pas modifiées par WAPT. WAPT conserve délibérément les données d’origine renvoyées par Windows Update afin que les administrateurs puissent exploiter ces informations exactement telles qu’elles sont fournies par Microsoft.

Même si la présence de fichiers KB en double ou de versions obsolètes peut rendre la liste des mises à jour plus difficile à lire, il s’agit là d’un simple problème d’affichage. Cela n’affecte en rien le processus d’installation des mises à jour. Windows Update n’installera que la mise à jour cumulative correspondant à la version du système d’exploitation exécutée sur l’appareil. Par exemple, sur un système Windows 11 25H2, seul le package de mises à jour destiné à la version 25H2 sera installé, même si des mises à jour ciblant les versions 22H2, 23H2 ou 24H2 figurent également dans la console.

Pour vérifier quelles mises à jour sont effectivement installées sur un appareil, vous pouvez utiliser la commande PowerShell suivante :

Get-Hotfix