Hola a todos, espero que estén bien.
Me gustaría retomar el siguiente tema: viewtopic.php?t=3038.
Tras investigar un poco, logré configurar los kernels de arranque de red "ipxe.efi" (UEFI) y "undionly.kpxe" (LEGACY) usando un certificado autofirmado a través de HTTPS.
Se requirieron varias configuraciones en los archivos de cabecera ubicados en ../src/config/*.h antes de compilar los kernels de arranque. Actualmente estoy usando los proporcionados con la solución FOGProject. ¿
Podrían informarme sobre la configuración inicial que proporciona Tranquil-IT para estos archivos de cabecera? Como mínimo, imagino que incluye soporte de lenguaje y soporte para el protocolo HTTPS...
Encontré un script de Python para compilar los kernels disponible en /opt/wapt/waptserver/scripts, pero no parece proporcionar todos los detalles necesarios...
Muchas gracias. Que tengan
un buen día.
WADS - Compatibilidad con HTTPS - certificado autofirmado
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Hola, no hay cambios excepto el idiomadavid.masson escribió: ↑21 de septiembre de 2023 - 14:07 Fue necesario realizar varios ajustes a los archivos de cabecera disponibles en ../src/config/*.h antes de compilar los núcleos de arranque. Actualmente estoy utilizando los proporcionados con la solución FOGProject.
Puedes ver la receta recopilatoria aquí:
https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ En el archivo update_package.py
Por curiosidad, ¿cómo resolvió el problema de la distribución insegura del archivo IPXE a través de TFTP?
Simón
-
David Masson
- Mensajes: 4
- Inscripción: 24 de julio de 2023 - 13:26
Buenas noches,
gracias por su pronta respuesta.
No estoy seguro de haber entendido completamente su pregunta; ¿podría explicarla con más detalle? (Soy nuevo en la solución WAPT).
Que tenga una buena noche.
Saludos cordiales.
gracias por su pronta respuesta.
No estoy seguro de haber entendido completamente su pregunta; ¿podría explicarla con más detalle? (Soy nuevo en la solución WAPT).
Que tenga una buena noche.
Saludos cordiales.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
En realidad, la pregunta no es específica de Wapt.
El binario IPXE se distribuye a la BIOS mediante el protocolo TFTP (que no es seguro).
Por lo tanto, verificar el certificado HTTPS con IPXE equivale a insertar el certificado directamente en el binario IPXE durante la compilación.
Pero esto implica confiar en el binario IPXE distribuido a través de TFTP.
Dado que no tengo forma de proteger este protocolo, me preguntaba si habías encontrado alguna solución a este problema.
El binario IPXE se distribuye a la BIOS mediante el protocolo TFTP (que no es seguro).
Por lo tanto, verificar el certificado HTTPS con IPXE equivale a insertar el certificado directamente en el binario IPXE durante la compilación.
Pero esto implica confiar en el binario IPXE distribuido a través de TFTP.
Dado que no tengo forma de proteger este protocolo, me preguntaba si habías encontrado alguna solución a este problema.
-
David Masson
- Mensajes: 4
- Inscripción: 24 de julio de 2023 - 13:26
Hola,
para nada, simplemente añadí el certificado a los binarios "ipxe.efi" y "undionly.kpxe" durante la compilación.
Utilicé los argumentos "TRUST=cert.pem" y "DEBUG=tls,x509:3" (solo para observar el proceso). El certificado en cuestión no se generó automáticamente, sino manualmente, ya que también incluye un alias y tiene una validez de 10 años.
También estoy abierto a sugerencias para asegurar este intercambio, ya que, efectivamente, los binarios deben ser de confianza.
Hubiera preferido un certificado público emitido por una autoridad de certificación reconocida, pero el período de validez es demasiado corto para las organizaciones con las que trabajo (1 año).
Saludos cordiales.
para nada, simplemente añadí el certificado a los binarios "ipxe.efi" y "undionly.kpxe" durante la compilación.
Utilicé los argumentos "TRUST=cert.pem" y "DEBUG=tls,x509:3" (solo para observar el proceso). El certificado en cuestión no se generó automáticamente, sino manualmente, ya que también incluye un alias y tiene una validez de 10 años.
También estoy abierto a sugerencias para asegurar este intercambio, ya que, efectivamente, los binarios deben ser de confianza.
Hubiera preferido un certificado público emitido por una autoridad de certificación reconocida, pero el período de validez es demasiado corto para las organizaciones con las que trabajo (1 año).
Saludos cordiales.
