Hallo.
Ich verstehe das Prinzip der Paketsignaturprüfung durch Agenten, aber eine Sache fehlt in der Dokumentation: Wie kann ich mit einer CRL (oder einem OCSP-Dienst) prüfen, ob der Signierer widerrufen wurde?
Ich habe eine Zertifizierungsstelle (CA) speziell für die Paketsignierung, die auf den Workstations installiert ist. Für jeden Operator erstelle ich ein von dieser CA signiertes Zertifikat. Wenn jedoch einer dieser privaten Schlüssel kompromittiert wird, möchte ich das betreffende Zertifikat einfach widerrufen, die benötigten Pakete gegebenenfalls mit einem anderen Signierer neu signieren und die Agenten aktualisieren lassen können.
Muss ich die CRL mit der CA verknüpfen?
CRL-Verifizierung für Pakete?
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Die Zertifikats-URL muss bei der Zertifikatserstellung (http) angegeben werden.
Der WAPT-Server lädt die Zertifikat-CRLs aus den WAPT-Paketen herunter, wenn er die Paketdatei generiert (Paket hochlädt).
Der Agent kann die CRLs anschließend im Ordner „ssl“ der Paketdatei (ZIP-Datei) abrufen.
Der WAPT-Server lädt die Zertifikat-CRLs aus den WAPT-Paketen herunter, wenn er die Paketdatei generiert (Paket hochlädt).
Der Agent kann die CRLs anschließend im Ordner „ssl“ der Paketdatei (ZIP-Datei) abrufen.
Absolut, das ist der Fallsfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr Die URL des Zertifikats muss bei der Zertifikatserstellung angegeben werden (http).
Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt? (Ich gebe zu, ich habe das noch nicht getestet. ^^)sfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr Der Wapt-Server kümmert sich beim Generieren der Paketdatei (Hochladen eines Pakets) um das Herunterladen der Zertifikatsreferenzen (CRLs) der in den Wapt-Paketen enthaltenen Zertifikate.
Hmm, ich verstehe das nicht ganz. Das Ziel ist doch genau, sicherzustellen, dass Pakete, die mit einem widerrufenen Zertifikat signiert sind, von den Agenten nicht akzeptiert werden. Wenn sie sich dabei auf eine im Paket selbst enthaltene CRL stützen, könnte es sich durchaus um eine alte CRL handeln (aus der Zeit, als das Zertifikat noch nicht widerrufen wurde). Irgendetwas muss ich übersehen habensfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr Der Agent kann die verfügbaren CRLs aus dem Ordner "ssl" im Paket "Packages Files" (zip) abrufen.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Es ist hauptsächlich der WAPT-Agent, der das Paket ablehnt (und dagegen kann nichts unternommen werden)dani schrieb: Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt?
Deshalb hat Ihre CRL (normalerweise) eine begrenzte Gültigkeitsdauer. Sie müssen Ihre CRL regelmäßig erneuernDani schrieb: Hmm, ich verstehe das nicht ganz. Es geht doch genau darum sicherzustellen, dass Pakete, die mit einem widerrufenen Zertifikat signiert sind, von den Agenten nicht akzeptiert werden. Wenn sie sich auf eine im Paket selbst enthaltene CRL stützen, könnte es sich durchaus um eine alte CRL handeln (aus der Zeit, als das Zertifikat noch nicht widerrufen wurde). Irgendetwas muss ich übersehen haben.
!Okay, dann werde ich ein paar Tests durchführen, um besser zu verstehen, wie es funktioniert, und ich komme wieder hierher zurück, falls ich weitere Fragen habesfonteneau schrieb: ↑20. Dez. 2018 - 22:34 UhrEs ist hauptsächlich der WAPT-Agent, der das Paket ablehnt (und dagegen kann nichts unternommen werden)dani schrieb: Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt?
Danke trotzdem für die Info
