Salve.
Capisco il principio della verifica della firma dei pacchetti da parte degli agenti, ma manca un dettaglio nella documentazione: come posso verificare con una CRL (o un servizio OCSP) se il firmatario è stato revocato?
Ho una CA dedicata alla firma dei pacchetti, installata sulle workstation. Per ogni operatore, creo un certificato firmato da questa CA. Se una di queste chiavi private viene compromessa, vorrei poter semplicemente revocare il certificato in questione, eventualmente firmare nuovamente i pacchetti necessari con un altro firmatario e consentire agli agenti di aggiornarsi.
Dovrei concatenare la CRL con la CA?
Verifica CRL per i pacchetti?
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
L'URL del certificato deve essere incluso nei certificati durante la loro generazione (http).
Il server WAPT scaricherà gli elenchi di revoca dei certificati (CRL) dai pacchetti WAPT durante la generazione del file Packages (caricamento di un pacchetto).
L'agente potrà quindi recuperare i CRL disponibili nella cartella "ssl" presente nel file Packages (zip).
Il server WAPT scaricherà gli elenchi di revoca dei certificati (CRL) dai pacchetti WAPT durante la generazione del file Packages (caricamento di un pacchetto).
L'agente potrà quindi recuperare i CRL disponibili nella cartella "ssl" presente nel file Packages (zip).
Assolutamente sìsfonteneau ha scritto: ↑20 dic 2018 - 18:07 L'URL del certificato deve essere inserito nei certificati quando vengono generati (http)
Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando provo a caricarlo sul server WAPT? (Ammetto di non averlo ancora testato ^^)sfonteneau ha scritto: ↑20 dic 2018 - 18:07 Il server wapt gestirà il download dei riferimenti ai certificati (CRL) dei certificati presenti nei pacchetti wapt durante la generazione del file Packages (caricamento di un pacchetto)
Mmm, non capisco bene. L'obiettivo è proprio quello di garantire che i pacchetti firmati con un certificato revocato non vengano accettati dagli agenti. Se si basano su una CRL contenuta nel pacchetto stesso, potrebbe benissimo trattarsi di una vecchia CRL (risalente a quando il certificato non era ancora stato revocato). Mi deve essere sfuggito qualcosasfonteneau ha scritto: ↑20 dic 2018 - 18:07 L'agente può recuperare gli elenchi di revoca dei certificati (CRL) disponibili dalla cartella "ssl" situata nei file del pacchetto (zip)
Sarà principalmente l'agente WAPT a rifiutare il pacchetto (e non si potrà fare nulla al riguardo)Dani ha scritto: Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando proverò a caricarlo sul server WAPT?
Ecco perché la tua CRL ha (normalmente) un periodo di validità limitato. Devi rigenerarla regolarmenteDani ha scritto: Mmmmhhh, non capisco bene. L'obiettivo è proprio quello di garantire che i pacchetti firmati con un certificato revocato non vengano accettati dagli agenti. Se si basano su una CRL contenuta nel pacchetto stesso, potrebbe benissimo trattarsi di una CRL vecchia (risalente a quando il certificato non era ancora stato revocato). Devo essermi perso qualcosa.
!Ok, allora farò qualche test per capire meglio come funziona e tornerò qui se avrò altre domandesfonteneau ha scritto: ↑20 dic 2018 - 22:34Sarà principalmente l'agente WAPT a rifiutare il pacchetto (e non si potrà fare nulla al riguardo)Dani ha scritto: Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando proverò a caricarlo sul server WAPT?
Grazie comunque per le informazioni
