Seite 1 von 1
CRL-Verifizierung für Pakete?
Veröffentlicht: 20. Dez. 2018 - 17:54 Uhr
von Dani
Hallo.
Ich verstehe das Prinzip der Paketsignaturprüfung durch Agenten, aber eine Sache fehlt in der Dokumentation: Wie kann ich mit einer CRL (oder einem OCSP-Dienst) prüfen, ob der Signierer widerrufen wurde?
Ich habe eine Zertifizierungsstelle (CA) speziell für die Paketsignierung, die auf den Workstations installiert ist. Für jeden Operator erstelle ich ein von dieser CA signiertes Zertifikat. Wenn jedoch einer dieser privaten Schlüssel kompromittiert wird, möchte ich das betreffende Zertifikat einfach widerrufen, die benötigten Pakete gegebenenfalls mit einem anderen Signierer neu signieren und die Agenten aktualisieren lassen können.
Muss ich die CRL mit der CA verknüpfen?
Betreff: CRL-Verifizierung für Pakete?
Veröffentlicht: 20. Dez. 2018 - 18:07 Uhr
von Sfonteneau
Die Zertifikats-URL muss bei der Zertifikatserstellung (http) angegeben werden.
Der WAPT-Server lädt die Zertifikat-CRLs aus den WAPT-Paketen herunter, wenn er die Paketdatei generiert (Paket hochlädt).
Der Agent kann die CRLs anschließend im Ordner „ssl“ der Paketdatei (ZIP-Datei) abrufen.
Betreff: CRL-Verifizierung für Pakete?
Veröffentlicht: 20. Dez. 2018 - 22:22 Uhr
von Dani
sfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr
Die URL des Zertifikats muss bei der Zertifikatserstellung angegeben werden (http).
Absolut, das ist der Fall
sfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr
Der Wapt-Server kümmert sich beim Generieren der Paketdatei (Hochladen eines Pakets) um das Herunterladen der Zertifikatsreferenzen (CRLs) der in den Wapt-Paketen enthaltenen Zertifikate.
Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt? (Ich gebe zu, ich habe das noch nicht getestet. ^^)
sfonteneau schrieb: ↑20. Dez. 2018 - 18:07 Uhr
Der Agent kann die verfügbaren CRLs aus dem Ordner "ssl" im Paket "Packages Files" (zip) abrufen.
Hmm, ich verstehe das nicht ganz. Das Ziel ist doch genau, sicherzustellen, dass Pakete, die mit einem widerrufenen Zertifikat signiert sind, von den Agenten nicht akzeptiert werden. Wenn sie sich dabei auf eine im Paket selbst enthaltene CRL stützen, könnte es sich durchaus um eine alte CRL handeln (aus der Zeit, als das Zertifikat noch nicht widerrufen wurde). Irgendetwas muss ich übersehen haben
Betreff: CRL-Verifizierung für Pakete?
Veröffentlicht: 20. Dez. 2018 - 22:34 Uhr
von Sfonteneau
dani schrieb:
Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt?
Es ist hauptsächlich der WAPT-Agent, der das Paket ablehnt (und dagegen kann nichts unternommen werden)
Dani schrieb:
Hmm, ich verstehe das nicht ganz. Es geht doch genau darum sicherzustellen, dass Pakete, die mit einem widerrufenen Zertifikat signiert sind, von den Agenten nicht akzeptiert werden. Wenn sie sich auf eine im Paket selbst enthaltene CRL stützen, könnte es sich durchaus um eine alte CRL handeln (aus der Zeit, als das Zertifikat noch nicht widerrufen wurde). Irgendetwas muss ich übersehen haben.
Deshalb hat Ihre CRL (normalerweise) eine begrenzte Gültigkeitsdauer. Sie müssen Ihre CRL regelmäßig erneuern
!
Betreff: CRL-Verifizierung für Pakete?
Veröffentlicht: 21. Dez. 2018 - 08:39 Uhr
von Dani
sfonteneau schrieb: ↑20. Dez. 2018 - 22:34 Uhr
dani schrieb:
Okay, es gibt also nichts zu konfigurieren? Wenn ich also ein Paket mit einem widerrufenen Zertifikat erstelle und signiere, wird es beim Hochladen auf den WAPT-Server abgelehnt?
Es ist hauptsächlich der WAPT-Agent, der das Paket ablehnt (und dagegen kann nichts unternommen werden)
Okay, dann werde ich ein paar Tests durchführen, um besser zu verstehen, wie es funktioniert, und ich komme wieder hierher zurück, falls ich weitere Fragen habe
Danke trotzdem für die Info