Hola.
Entiendo el principio de verificación de firmas de paquetes por parte de los agentes, pero falta algo en la documentación: ¿cómo puedo comprobar con una CRL (o un servicio OCSP) si el firmante ha sido revocado?
Tengo una CA dedicada a la firma de paquetes, desplegada en las estaciones de trabajo. Para cada operador, creo un certificado firmado por esta CA. Pero si una de estas claves privadas se ve comprometida, me gustaría poder simplemente revocar el certificado en cuestión, posiblemente volver a firmar los paquetes necesarios con otro firmante y permitir que los agentes se actualicen. ¿
Debería concatenar la CRL con la CA?
¿Verificación CRL para paquetes?
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
La URL del certificado debe incluirse en los certificados durante su generación (http).
El servidor WAPT descargará las CRL de los paquetes WAPT al generar el archivo Packages (al cargar un paquete).
El agente podrá entonces recuperar las CRL disponibles en la carpeta "ssl" ubicada en el archivo Packages (zip).
El servidor WAPT descargará las CRL de los paquetes WAPT al generar el archivo Packages (al cargar un paquete).
El agente podrá entonces recuperar las CRL disponibles en la carpeta "ssl" ubicada en el archivo Packages (zip).
Por supuesto, así essfonteneau escribió: ↑20 de diciembre de 2018 - 18:07 La URL del certificado debe ingresarse en los certificados cuando se generan (http)
Bien, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado al intentar subirlo al servidor WAPT? (Admito que aún no lo he probado ^^)sfonteneau escribió: ↑20 de diciembre de 2018 - 18:07 El servidor wapt se encargará de descargar las referencias de certificado (CRL) de los certificados presentes en los paquetes wapt al generar el archivo Packages (al cargar un paquete).
Mmm, no lo entiendo bien. El objetivo es precisamente garantizar que los agentes no acepten los paquetes firmados con un certificado revocado. Si se basan en una CRL contenida en el propio paquete, es muy posible que sea una CRL antigua (de cuando el certificado aún no se había revocado). Debo estar pasando algo por altosfonteneau escribió: ↑20 de diciembre de 2018 - 18:07 El agente puede recuperar las CRL disponibles de la carpeta "ssl" ubicada en los archivos del paquete (zip)
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Será principalmente el agente WAPT el que rechazará el paquete (y no se puede hacer nada al respecto)dani escribió: Vale, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado cuando intente subirlo al servidor WAPT?
Por eso, su CRL tiene un periodo de validez limitado (normalmente). Debe regenerarla periódicamenteDani escribió: Mmm, no lo entiendo del todo. El objetivo es precisamente asegurar que los paquetes firmados con un certificado revocado no sean aceptados por los agentes. Si se basan en una CRL contenida en el propio paquete, bien podría tratarse de una CRL antigua (de cuando el certificado aún no había sido revocado). Algo se me escapa.
!Bueno, entonces haré algunas pruebas para entender mejor cómo funciona y volveré aquí si tengo más preguntassfonteneau escribió: ↑20 de diciembre de 2018 - 22:34Será principalmente el agente WAPT el que rechazará el paquete (y no se puede hacer nada al respecto)dani escribió: Vale, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado cuando intente subirlo al servidor WAPT?
Gracias por la información de todos modos
