Pagina 1 di 1
Verifica CRL per i pacchetti?
Pubblicato: 20 dicembre 2018 - 17:54
di Dani
Salve.
Capisco il principio della verifica della firma dei pacchetti da parte degli agenti, ma manca un dettaglio nella documentazione: come posso verificare con una CRL (o un servizio OCSP) se il firmatario è stato revocato?
Ho una CA dedicata alla firma dei pacchetti, installata sulle workstation. Per ogni operatore, creo un certificato firmato da questa CA. Se una di queste chiavi private viene compromessa, vorrei poter semplicemente revocare il certificato in questione, eventualmente firmare nuovamente i pacchetti necessari con un altro firmatario e consentire agli agenti di aggiornarsi.
Dovrei concatenare la CRL con la CA?
Re: Verifica CRL per i pacchetti?
Pubblicato: 20 dicembre 2018 - 18:07
di sfontenau
L'URL del certificato deve essere incluso nei certificati durante la loro generazione (http).
Il server WAPT scaricherà gli elenchi di revoca dei certificati (CRL) dai pacchetti WAPT durante la generazione del file Packages (caricamento di un pacchetto).
L'agente potrà quindi recuperare i CRL disponibili nella cartella "ssl" presente nel file Packages (zip).
Re: Verifica CRL per i pacchetti?
Pubblicato: 20 dicembre 2018 - 22:22
di Dani
sfonteneau ha scritto: ↑20 dic 2018 - 18:07
L'URL del certificato deve essere inserito nei certificati quando vengono generati (http)
Assolutamente sì
sfonteneau ha scritto: ↑20 dic 2018 - 18:07
Il server wapt gestirà il download dei riferimenti ai certificati (CRL) dei certificati presenti nei pacchetti wapt durante la generazione del file Packages (caricamento di un pacchetto)
Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando provo a caricarlo sul server WAPT? (Ammetto di non averlo ancora testato ^^)
sfonteneau ha scritto: ↑20 dic 2018 - 18:07
L'agente può recuperare gli elenchi di revoca dei certificati (CRL) disponibili dalla cartella "ssl" situata nei file del pacchetto (zip)
Mmm, non capisco bene. L'obiettivo è proprio quello di garantire che i pacchetti firmati con un certificato revocato non vengano accettati dagli agenti. Se si basano su una CRL contenuta nel pacchetto stesso, potrebbe benissimo trattarsi di una vecchia CRL (risalente a quando il certificato non era ancora stato revocato). Mi deve essere sfuggito qualcosa
Re: Verifica CRL per i pacchetti?
Pubblicato: 20 dicembre 2018 - 22:34
di sfontenau
Dani ha scritto:
Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando proverò a caricarlo sul server WAPT?
Sarà principalmente l'agente WAPT a rifiutare il pacchetto (e non si potrà fare nulla al riguardo)
Dani ha scritto:
Mmmmhhh, non capisco bene. L'obiettivo è proprio quello di garantire che i pacchetti firmati con un certificato revocato non vengano accettati dagli agenti. Se si basano su una CRL contenuta nel pacchetto stesso, potrebbe benissimo trattarsi di una CRL vecchia (risalente a quando il certificato non era ancora stato revocato). Devo essermi perso qualcosa.
Ecco perché la tua CRL ha (normalmente) un periodo di validità limitato. Devi rigenerarla regolarmente
!
Re: Verifica CRL per i pacchetti?
Pubblicato: 21 dicembre 2018 - 08:39
di Dani
sfonteneau ha scritto: ↑20 dic 2018 - 22:34
Dani ha scritto:
Ok, non c'è niente da configurare? Quindi, se creo e firmo un pacchetto con un certificato revocato, verrà rifiutato quando proverò a caricarlo sul server WAPT?
Sarà principalmente l'agente WAPT a rifiutare il pacchetto (e non si potrà fare nulla al riguardo)
Ok, allora farò qualche test per capire meglio come funziona e tornerò qui se avrò altre domande
Grazie comunque per le informazioni