Vérification CRL pour les paquets ?

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
* Questions can be asked in English or in French. If the thread is started in English, stick to English, if it is started in French, stick to French.
* Vous pouvez poser vos questions en Français ou en Anglais. Si un sujet est commencé en français, merci de répondre en français. Si un sujet est commencé en anglais, merci de répondre en anglais.
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 17:54

Bonjour.

J'ai bien compris le principe de vérification des signatures des paquets par les agents, mais une chose n'est pas indiquée dans la documentation: comment on peut vérifier auprès d'une CRL (ou d'un service OCSP) si le signataire n'a pas été révoqué ?

J'ai une CA dédiée à la signature des paquets, qui est déployée sur les postes. Pour chacun des opérateurs, je crée un certificat signé par cette CA. Mais le jour où une de ces clés privées est compromise, j'aimerai pouvoir simplement révoquer le certificat en question, éventuellement re-signer les paquets nécessaires par un autre signataire, et laisser les agent se mettre à jour.

Faut-il concaténer la CRL avec la CA ?
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 784
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 18:07

L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)

Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)

L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 22:22

sfonteneau a écrit :
20 déc. 2018 - 18:07
L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)
Tout à fait, c'est le cas
sfonteneau a écrit :
20 déc. 2018 - 18:07
Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)
Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ? (J'avoue que je n'ai pas encore testé ^^)
sfonteneau a écrit :
20 déc. 2018 - 18:07
L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 784
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 22:34

dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
dani a écrit : Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
C'est pour cela que votre crl a une validité limité (normalement). Vous devez régénérer votre crl régulièrement ;) !
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

21 déc. 2018 - 08:39

sfonteneau a écrit :
20 déc. 2018 - 22:34
dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
Ok, je vais faire quelques tests alors, pour mieux comprendre le fonctionnement, et je reviendrai ici si j'ai d'autres questions :-)
Merci pour les info en tout cas
Répondre