Vérification CRL pour les paquets ?

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
dani
Messages : 8
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 17:54

Bonjour.

J'ai bien compris le principe de vérification des signatures des paquets par les agents, mais une chose n'est pas indiquée dans la documentation: comment on peut vérifier auprès d'une CRL (ou d'un service OCSP) si le signataire n'a pas été révoqué ?

J'ai une CA dédiée à la signature des paquets, qui est déployée sur les postes. Pour chacun des opérateurs, je crée un certificat signé par cette CA. Mais le jour où une de ces clés privées est compromise, j'aimerai pouvoir simplement révoquer le certificat en question, éventuellement re-signer les paquets nécessaires par un autre signataire, et laisser les agent se mettre à jour.

Faut-il concaténer la CRL avec la CA ?
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 18:07

L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)

Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)

L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
dani
Messages : 8
Inscription : 29 nov. 2018 - 09:38

20 déc. 2018 - 22:22

sfonteneau a écrit : 20 déc. 2018 - 18:07 L'url de la crl doit être renseigné dans les certificats lors de leur génération (http)
Tout à fait, c'est le cas
sfonteneau a écrit : 20 déc. 2018 - 18:07 Le serveur wapt va s'occuper de download les crl des certificats présent dans les paquet wapt lors de la génération du fichier Packages (upload d'un paquet)
Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ? (J'avoue que je n'ai pas encore testé ^^)
sfonteneau a écrit : 20 déc. 2018 - 18:07 L'agent peut lui récupérer les crl disponible dans le dossier "ssl" présent dans le Fichiers Packages (zip)
Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

20 déc. 2018 - 22:34

dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
dani a écrit : Mmmmhhh, je ne comprend pas trop là. Le but, c'est justement de s'assurer que les paquets signés par un certificat révoqué ne seront pas acceptés par les agents. Si ils se basent sur une CRL contenu dans le paquet lui même, ça peut tout à fait être une CRL ancienne (qui remonte à l'époque où le certificat n'était pas encore révoqué). J'ai du rater quelque chose :-)
C'est pour cela que votre crl a une validité limité (normalement). Vous devez régénérer votre crl régulièrement ;) !
dani
Messages : 8
Inscription : 29 nov. 2018 - 09:38

21 déc. 2018 - 08:39

sfonteneau a écrit : 20 déc. 2018 - 22:34
dani a écrit : Ok, il n'y a rien a configurer ? Donc, si je build et signe un paquet avec un certificat révoqué, au moment de l'upload vers le serveur WAPT, il sera refusé ?
C'est surtout l'agent wapt qui va refuser le paquet ( et non rien a faire)
Ok, je vais faire quelques tests alors, pour mieux comprendre le fonctionnement, et je reviendrai ici si j'ai d'autres questions :-)
Merci pour les info en tout cas
Verrouillé