Página 1 de 1
¿Verificación CRL para paquetes?
Publicado: 20 de diciembre de 2018 - 17:54
por Dani
Hola.
Entiendo el principio de verificación de firmas de paquetes por parte de los agentes, pero falta algo en la documentación: ¿cómo puedo comprobar con una CRL (o un servicio OCSP) si el firmante ha sido revocado?
Tengo una CA dedicada a la firma de paquetes, desplegada en las estaciones de trabajo. Para cada operador, creo un certificado firmado por esta CA. Pero si una de estas claves privadas se ve comprometida, me gustaría poder simplemente revocar el certificado en cuestión, posiblemente volver a firmar los paquetes necesarios con otro firmante y permitir que los agentes se actualicen. ¿
Debería concatenar la CRL con la CA?
Re: ¿Verificación CRL para paquetes?
Publicado: 20 de diciembre de 2018 - 18:07
por sfonteneau
La URL del certificado debe incluirse en los certificados durante su generación (http).
El servidor WAPT descargará las CRL de los paquetes WAPT al generar el archivo Packages (al cargar un paquete).
El agente podrá entonces recuperar las CRL disponibles en la carpeta "ssl" ubicada en el archivo Packages (zip).
Re: ¿Verificación CRL para paquetes?
Publicado: 20 de diciembre de 2018 - 22:22
por Dani
sfonteneau escribió: ↑20 de diciembre de 2018 - 18:07
La URL del certificado debe ingresarse en los certificados cuando se generan (http)
Por supuesto, así es
sfonteneau escribió: ↑20 de diciembre de 2018 - 18:07
El servidor wapt se encargará de descargar las referencias de certificado (CRL) de los certificados presentes en los paquetes wapt al generar el archivo Packages (al cargar un paquete).
Bien, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado al intentar subirlo al servidor WAPT? (Admito que aún no lo he probado ^^)
sfonteneau escribió: ↑20 de diciembre de 2018 - 18:07
El agente puede recuperar las CRL disponibles de la carpeta "ssl" ubicada en los archivos del paquete (zip)
Mmm, no lo entiendo bien. El objetivo es precisamente garantizar que los agentes no acepten los paquetes firmados con un certificado revocado. Si se basan en una CRL contenida en el propio paquete, es muy posible que sea una CRL antigua (de cuando el certificado aún no se había revocado). Debo estar pasando algo por alto
Re: ¿Verificación CRL para paquetes?
Publicado: 20 de diciembre de 2018 - 22:34
por sfonteneau
dani escribió:
Vale, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado cuando intente subirlo al servidor WAPT?
Será principalmente el agente WAPT el que rechazará el paquete (y no se puede hacer nada al respecto)
Dani escribió:
Mmm, no lo entiendo del todo. El objetivo es precisamente asegurar que los paquetes firmados con un certificado revocado no sean aceptados por los agentes. Si se basan en una CRL contenida en el propio paquete, bien podría tratarse de una CRL antigua (de cuando el certificado aún no había sido revocado). Algo se me escapa.
Por eso, su CRL tiene un periodo de validez limitado (normalmente). Debe regenerarla periódicamente
!
Re: ¿Verificación CRL para paquetes?
Publicado: 21 de diciembre de 2018 - 08:39
por Dani
sfonteneau escribió: ↑20 de diciembre de 2018 - 22:34
dani escribió:
Vale, ¿no hay nada que configurar? Entonces, si compilo y firmo un paquete con un certificado revocado, ¿será rechazado cuando intente subirlo al servidor WAPT?
Será principalmente el agente WAPT el que rechazará el paquete (y no se puede hacer nada al respecto)
Bueno, entonces haré algunas pruebas para entender mejor cómo funciona y volveré aquí si tengo más preguntas
Gracias por la información de todos modos