Page 1 sur 1

Vérification CRL pour les paquets ?

Publié : 20 déc. 2018 - 17:54
par dani
Bonjour.

J'ai bien compris le principe de vérification des signatures des paquets par les agents, mais une chose n'est pas indiquée dans la documentation: comment on peut vérifier auprès d'une CRL (ou d'un service OCSP) si le signataire n'a pas été révoqué ?

J'ai une CA dédiée à la signature des paquets, qui est déployée sur les postes. Pour chacun des opérateurs, je crée un certificat signé par cette CA. Mais le jour où une de ces clés privées est compromise, j'aimerai pouvoir simplement révoquer le certificat en question, éventuellement re-signer les paquets nécessaires par un autre signataire, et laisser les agent se mettre à jour.

Faut-il concaténer la CRL avec la CA ?

Re: Vérification CRL pour les paquets ?

Publié : 20 déc. 2018 - 18:07
par sfonteneau
L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)

Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)

L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)

Re: Vérification CRL pour les paquets ?

Publié : 20 déc. 2018 - 22:22
par dani
sfonteneau a écrit : 20 déc. 2018 - 18:07 L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)
Tout à fait, c'est le cas
sfonteneau a écrit : 20 déc. 2018 - 18:07 Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)
Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ? (J'avoue que je n'ai pas encore testé ^^)
sfonteneau a écrit : 20 déc. 2018 - 18:07 L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)

Re: Vérification CRL pour les paquets ?

Publié : 20 déc. 2018 - 22:34
par sfonteneau
dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
dani a écrit : Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
C'est pour cela que votre crl a une validité limité (normalement). Vous devez régénérer votre crl régulièrement ;) !

Re: Vérification CRL pour les paquets ?

Publié : 21 déc. 2018 - 08:39
par dani
sfonteneau a écrit : 20 déc. 2018 - 22:34
dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
Ok, je vais faire quelques tests alors, pour mieux comprendre le fonctionnement, et je reviendrai ici si j'ai d'autres questions :-)
Merci pour les info en tout cas