Vérification CRL pour les paquets ?

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum
* English support on www.reddit.com/r/wapt
* Le support en français se fait sur ce forum
* Merci de préfixer le titre du thread par [RESOLU] s'il est résolu.
* Préciser version de WAPT installée (1.3.9 / 1.3.13 / 1.5 )
* Préciser OS du serveur (Linux / Windows) et version (Debian Jessie/Stretch - CentOS 7 - Windows Server 2012/2016)
* Préciser OS de la machine d'administration/création des paquets (Windows 7 / 10)
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 17:54

Bonjour.

J'ai bien compris le principe de vérification des signatures des paquets par les agents, mais une chose n'est pas indiquée dans la documentation: comment on peut vérifier auprès d'une CRL (ou d'un service OCSP) si le signataire n'a pas été révoqué ?

J'ai une CA dédiée à la signature des paquets, qui est déployée sur les postes. Pour chacun des opérateurs, je crée un certificat signé par cette CA. Mais le jour où une de ces clés privées est compromise, j'aimerai pouvoir simplement révoquer le certificat en question, éventuellement re-signer les paquets nécessaires par un autre signataire, et laisser les agent se mettre à jour.

Faut-il concaténer la CRL avec la CA ?
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 839
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 18:07

L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)

Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)

L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 22:22

sfonteneau a écrit :
20 déc. 2018 - 18:07
L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)
Tout à fait, c'est le cas
sfonteneau a écrit :
20 déc. 2018 - 18:07
Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)
Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ? (J'avoue que je n'ai pas encore testé ^^)
sfonteneau a écrit :
20 déc. 2018 - 18:07
L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 839
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 22:34

dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
dani a écrit : Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
C'est pour cela que votre crl a une validité limité (normalement). Vous devez régénérer votre crl régulièrement ;) !
dani
Messages : 6
Inscription : 29 nov. 2018 - 09:38

21 déc. 2018 - 08:39

sfonteneau a écrit :
20 déc. 2018 - 22:34
dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
Ok, je vais faire quelques tests alors, pour mieux comprendre le fonctionnement, et je reviendrai ici si j'ai d'autres questions :-)
Merci pour les info en tout cas
Répondre