Hallo zusammen, ich hoffe, es geht euch allen gut.
Ich möchte das Thema viewtopic.php?t=3038.
Nach einiger Recherche konnte ich die Netzwerk-Boot-Kernel „ipxe.efi“ (UEFI) und „undionly.kpxe“ (Legacy) mithilfe eines selbstsignierten Zertifikats über HTTPS einrichten.
Vor dem Kompilieren der Boot-Kernel waren einige Einstellungen in den Header-Dateien unter ../src/config/*.h erforderlich. Ich verwende derzeit die mit der FOGProject-Lösung bereitgestellten.
Könntet ihr mir bitte die von Tranquil-IT bereitgestellte Standardkonfiguration für diese Header-Dateien erläutern? Ich gehe davon aus, dass sie zumindest Sprachunterstützung und HTTPS-Protokollunterstützung umfasst.
Ich habe ein Python-Skript zum Kompilieren der Kernel unter /opt/wapt/waptserver/scripts gefunden, aber es scheint nicht alle notwendigen Details zu enthalten.
Vielen Dank im Voraus. Ich wünsche euch
einen schönen Tag.
WADS – HTTPS-Unterstützung – selbstsigniertes Zertifikat
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Hallo, keine Änderungen außer der Sprachedavid.masson schrieb: ↑21. Sep. 2023 - 14:07 Uhr Vor dem Kompilieren der Boot-Kernel waren einige Anpassungen an den Header-Dateien in ../src/config/*.h erforderlich. Ich verwende derzeit die mit der FOGProject-Lösung bereitgestellten Dateien.
Die Zusammenstellungsanleitung finden Sie hier:
https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ In der Datei update_package.py
Aus Neugier: Wie haben Sie das Problem der unsicheren Verteilung der IPXE-Datei über TFTP gelöst?
Simon
-
david.masson
- Nachrichten: 4
- Anmeldung: 24. Juli 2023 – 13:26 Uhr
Guten Abend,
vielen Dank für Ihre schnelle Antwort.
Ich bin mir nicht sicher, ob ich Ihre Frage richtig verstanden habe; könnten Sie sie bitte etwas genauer erläutern (ich bin neu in der WAPT-Lösung)?
Ich wünsche Ihnen einen schönen Abend.
Mit freundlichen Grüßen.
vielen Dank für Ihre schnelle Antwort.
Ich bin mir nicht sicher, ob ich Ihre Frage richtig verstanden habe; könnten Sie sie bitte etwas genauer erläutern (ich bin neu in der WAPT-Lösung)?
Ich wünsche Ihnen einen schönen Abend.
Mit freundlichen Grüßen.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Die Frage bezieht sich eigentlich nicht nur auf Wapt.
Die IPXE-Binärdatei wird über das unsichere TFTP-Protokoll an das BIOS verteilt.
Die Überprüfung des HTTPS-Zertifikats mit IPXE läuft daher darauf hinaus, das Zertifikat während der Kompilierung direkt in die IPXE-Binärdatei einzufügen.
Dies setzt jedoch voraus, dass man der über TFTP verteilten IPXE-Binärdatei vertraut.
Da ich keine Möglichkeit habe, dieses Protokoll abzusichern, wollte ich fragen, ob Sie eine Lösung für dieses Problem gefunden haben.
Die IPXE-Binärdatei wird über das unsichere TFTP-Protokoll an das BIOS verteilt.
Die Überprüfung des HTTPS-Zertifikats mit IPXE läuft daher darauf hinaus, das Zertifikat während der Kompilierung direkt in die IPXE-Binärdatei einzufügen.
Dies setzt jedoch voraus, dass man der über TFTP verteilten IPXE-Binärdatei vertraut.
Da ich keine Möglichkeit habe, dieses Protokoll abzusichern, wollte ich fragen, ob Sie eine Lösung für dieses Problem gefunden haben.
-
david.masson
- Nachrichten: 4
- Anmeldung: 24. Juli 2023 – 13:26 Uhr
Hallo,
nein, ich habe das Zertifikat einfach während der Kompilierung zu den Binärdateien „ipxe.efi“ und „undionly.kpxe“ hinzugefügt.
Ich habe die Argumente „TRUST=cert.pem“ und „DEBUG=tls,x509:3“ verwendet (nur um den Vorgang zu beobachten). Das betreffende Zertifikat wurde nicht automatisch, sondern manuell generiert, da es auch einen Alias enthält und 10 Jahre gültig ist.
Ich bin offen für Vorschläge zur Absicherung dieses Austauschs, da die Binärdateien tatsächlich vertrauenswürdig sein müssen.
Ich hätte ein öffentliches Zertifikat einer anerkannten Zertifizierungsstelle bevorzugt, aber die Gültigkeitsdauer ist für die Organisationen, mit denen ich zusammenarbeite, zu kurz (1 Jahr).
Viele Grüße.
nein, ich habe das Zertifikat einfach während der Kompilierung zu den Binärdateien „ipxe.efi“ und „undionly.kpxe“ hinzugefügt.
Ich habe die Argumente „TRUST=cert.pem“ und „DEBUG=tls,x509:3“ verwendet (nur um den Vorgang zu beobachten). Das betreffende Zertifikat wurde nicht automatisch, sondern manuell generiert, da es auch einen Alias enthält und 10 Jahre gültig ist.
Ich bin offen für Vorschläge zur Absicherung dieses Austauschs, da die Binärdateien tatsächlich vertrauenswürdig sein müssen.
Ich hätte ein öffentliches Zertifikat einer anerkannten Zertifizierungsstelle bevorzugt, aber die Gültigkeitsdauer ist für die Organisationen, mit denen ich zusammenarbeite, zu kurz (1 Jahr).
Viele Grüße.
