Ruhiges IT-Forum

Hallo zusammen, ich hoffe, es geht euch allen gut.

Ich möchte das Thema viewtopic.php?t=3038.

Nach einiger Recherche konnte ich die Netzwerk-Boot-Kernel „ipxe.efi“ (UEFI) und „undionly.kpxe“ (Legacy) mithilfe eines selbstsignierten Zertifikats über HTTPS einrichten.

Vor dem Kompilieren der Boot-Kernel waren einige Einstellungen in den Header-Dateien unter ../src/config/*.h erforderlich. Ich verwende derzeit die mit der FOGProject-Lösung bereitgestellten.

Könntet ihr mir bitte die von Tranquil-IT bereitgestellte Standardkonfiguration für diese Header-Dateien erläutern? Ich gehe davon aus, dass sie zumindest Sprachunterstützung und HTTPS-Protokollunterstützung umfasst.

Ich habe ein Python-Skript zum Kompilieren der Kernel unter /opt/wapt/waptserver/scripts gefunden, aber es scheint nicht alle notwendigen Details zu enthalten.

Vielen Dank im Voraus. Ich wünsche euch

einen schönen Tag.

david.masson schrieb: ↑21. Sep. 2023 - 14:07 Uhr Vor dem Kompilieren der Boot-Kernel waren einige Anpassungen an den Header-Dateien in ../src/config/*.h erforderlich. Ich verwende derzeit die mit der FOGProject-Lösung bereitgestellten Dateien.

Hallo, keine Änderungen außer der Sprache

Die Zusammenstellungsanleitung finden Sie hier:

https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ In der Datei update_package.py

Aus Neugier: Wie haben Sie das Problem der unsicheren Verteilung der IPXE-Datei über TFTP gelöst?

Simon

Guten Abend,

vielen Dank für Ihre schnelle Antwort.

Ich bin mir nicht sicher, ob ich Ihre Frage richtig verstanden habe; könnten Sie sie bitte etwas genauer erläutern (ich bin neu in der WAPT-Lösung)?

Ich wünsche Ihnen einen schönen Abend.

Mit freundlichen Grüßen.

Die Frage bezieht sich eigentlich nicht nur auf Wapt.

Die IPXE-Binärdatei wird über das unsichere TFTP-Protokoll an das BIOS verteilt.

Die Überprüfung des HTTPS-Zertifikats mit IPXE läuft daher darauf hinaus, das Zertifikat während der Kompilierung direkt in die IPXE-Binärdatei einzufügen.

Dies setzt jedoch voraus, dass man der über TFTP verteilten IPXE-Binärdatei vertraut.

Da ich keine Möglichkeit habe, dieses Protokoll abzusichern, wollte ich fragen, ob Sie eine Lösung für dieses Problem gefunden haben.

Hallo,

nein, ich habe das Zertifikat einfach während der Kompilierung zu den Binärdateien „ipxe.efi“ und „undionly.kpxe“ hinzugefügt.
Ich habe die Argumente „TRUST=cert.pem“ und „DEBUG=tls,x509:3“ verwendet (nur um den Vorgang zu beobachten). Das betreffende Zertifikat wurde nicht automatisch, sondern manuell generiert, da es auch einen Alias ​​enthält und 10 Jahre gültig ist.

Ich bin offen für Vorschläge zur Absicherung dieses Austauschs, da die Binärdateien tatsächlich vertrauenswürdig sein müssen.

Ich hätte ein öffentliches Zertifikat einer anerkannten Zertifizierungsstelle bevorzugt, aber die Gültigkeitsdauer ist für die Organisationen, mit denen ich zusammenarbeite, zu kurz (1 Jahr).

Viele Grüße.