Ciao a tutti, spero stiate tutti bene.
Vorrei riprendere la seguente discussione: viewtopic.php?t=3038.
Dopo alcune ricerche, sono riuscito a configurare i kernel di avvio di rete "ipxe.efi" (UEFI) e "undionly.kpxe" (LEGACY) utilizzando un certificato autofirmato tramite HTTPS.
Prima di compilare i kernel di avvio, sono state necessarie diverse impostazioni nei file di intestazione presenti in ../src/config/*.h. Attualmente sto utilizzando quelli forniti con la soluzione FOGProject.
Potreste fornirmi informazioni sulla configurazione iniziale fornita da Tranquil-IT per questi file di intestazione? Immagino che includa, come minimo, il supporto per la lingua e il protocollo HTTPS...
Ho trovato uno script Python per la compilazione dei kernel in /opt/wapt/waptserver/scripts, ma non sembra fornire tutti i dettagli necessari...
Grazie mille.
Buona giornata.
WADS - Supporto HTTPS - certificato autofirmato
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Ciao, nessuna modifica, a parte la linguadavid.masson ha scritto: ↑21 set 2023 - 14:07 Sono state necessarie diverse modifiche ai file di intestazione disponibili in ../src/config/*.h prima di compilare i kernel di avvio. Attualmente sto usando quelli forniti con la soluzione FOGProject.
Potete vedere la ricetta completa qui:
https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ Nel file update_package.py
Per curiosità, come hai risolto il problema della distribuzione non sicura del file IPXE tramite TFTP?
Simone
-
davide masson
- Messaggi: 4
- Registrazione: 24 luglio 2023 - 13:26
Buonasera,
grazie per la rapida risposta.
Non sono sicuro di aver compreso appieno la sua domanda; potrebbe spiegarla meglio (non ho familiarità con la soluzione WAPT)?
Le auguro una buona serata.
Cordiali saluti.
grazie per la rapida risposta.
Non sono sicuro di aver compreso appieno la sua domanda; potrebbe spiegarla meglio (non ho familiarità con la soluzione WAPT)?
Le auguro una buona serata.
Cordiali saluti.
In realtà, la domanda non riguarda specificamente Wapt.
Il binario IPXE viene distribuito al BIOS tramite il protocollo TFTP (che non è sicuro).
Verificare il certificato HTTPS con IPXE equivale quindi a inserire il certificato direttamente nel binario IPXE durante la compilazione.
Questo però implica fidarsi del binario IPXE distribuito tramite TFTP.
Dato che non ho un modo per proteggere questo protocollo, mi chiedevo se aveste trovato una soluzione a questo problema.
Il binario IPXE viene distribuito al BIOS tramite il protocollo TFTP (che non è sicuro).
Verificare il certificato HTTPS con IPXE equivale quindi a inserire il certificato direttamente nel binario IPXE durante la compilazione.
Questo però implica fidarsi del binario IPXE distribuito tramite TFTP.
Dato che non ho un modo per proteggere questo protocollo, mi chiedevo se aveste trovato una soluzione a questo problema.
-
davide masson
- Messaggi: 4
- Registrazione: 24 luglio 2023 - 13:26
Salve,
assolutamente no, ho semplicemente aggiunto il certificato ai file binari "ipxe.efi" e "undionly.kpxe" durante la compilazione.
Ho utilizzato gli argomenti "TRUST=cert.pem" e "DEBUG=tls,x509:3" (solo per osservare il processo). Il certificato in questione non è stato generato automaticamente ma manualmente perché include anche un alias ed è valido per 10 anni.
Sono aperto a suggerimenti per proteggere questo scambio perché, in effetti, i file binari devono essere considerati affidabili.
Avrei preferito un certificato pubblico rilasciato da un'autorità di certificazione riconosciuta, ma il periodo di validità è troppo breve per le organizzazioni con cui collaboro (1 anno).
Cordiali saluti.
assolutamente no, ho semplicemente aggiunto il certificato ai file binari "ipxe.efi" e "undionly.kpxe" durante la compilazione.
Ho utilizzato gli argomenti "TRUST=cert.pem" e "DEBUG=tls,x509:3" (solo per osservare il processo). Il certificato in questione non è stato generato automaticamente ma manualmente perché include anche un alias ed è valido per 10 anni.
Sono aperto a suggerimenti per proteggere questo scambio perché, in effetti, i file binari devono essere considerati affidabili.
Avrei preferito un certificato pubblico rilasciato da un'autorità di certificazione riconosciuta, ma il periodo di validità è troppo breve per le organizzazioni con cui collaboro (1 anno).
Cordiali saluti.
