Bonjour Moha

Avant toute chose vérifiez bien que vous êtes dans la dernière version de wapt

La case "Certificat de CA" signifie que la clé que vous générer pourra créer des enfant.

Globalement vous allez créer une CA par "droit",  Par exemple CA1.crt (Site1) , CA2.crt (Site2), GLOBAL.crt (copier sur les sites)

Globalement les pc du site1 ont   C:\Program Files (x86)\wapt\ssl\ca1.crt + C:\Program Files (x86)\wapt\ssl\global.crt

les pc du site2 : C:\Program Files (x86)\wapt\ssl\ca2.crt + C:\Program Files (x86)\wapt\ssl\global.crt

Les ca n’ont pas de parent.

- Ensuite quand vous allez générer une clé pour votre technicien, Vous allez pouvoir mettre son nom dans "Common Name"

- Vous ne devez pas cocher la case certificat de CA puisque votre technicien ne doit pas pouvoir émettre de clé enfant

- Certificat de développeur (cocher uniquement la case si votre technicien a l'autorisation de dupliquer des paquets depuis internet ou de créer ses propre paquet)

- Certificat authentification client ( globalement cocher la tous le temps)

En ensuite avant de cliquer sur ok vous devez définir qui est son parent :

Ici vous pouvez  donc sélectionner les clé Global :le technicien pourra contrôler le parc entier, ou la ca1: le technicien n'aura l'accès qu'au site 1, ou la ca2: le technicien n'aura l'accès qu'au site 2

Ensuite lorsque vous ouvrez (avez windows) le certificat du technicien vous pouvez voir qui est l’émetteur :

Simon Fonteneau


Le 26/03/2021 à 14:46, Moha AHBAR a écrit :

Je résumé.
Pour le moment je suis la seule personne admin de wapt ( serveur et console).
Je souhaite que deux de mes collegues signent et déploient des paquets Wapt via la console mais avec une clé a leur nom.
Pour cela je crée une clé,  pour chacun de mes collegues, avec l'assistant ci-dessous, en cochant seulement "Certificat de développeur":

Clé privée du développeur + certificat

Permet l’authentification sur la console WAPT + interactions avec les agents WAPT + signature de paquets WAPT



Ensuite chacun de mes collegues auront accès à la console et ainsi ils pourront signer et déployer des paquets Wapt sur l'ensemble des clients.
Et ceci a partir de leur pc respectif.

merci,
m.




De: "Simon FONTENEAU" <sfonteneau@tranquil.it>
À: "Moha AHBAR" <moha.ahbar@lapth.cnrs.fr>, wapt@lists.tranquil.it
Envoyé: Vendredi 26 Mars 2021 13:41:59
Objet: Re: [Wapt] un second certificat (et même plusieurs) permettant à un/ou des collègues de signer des paquets

Vous avez dans l'inventaire machine (général) et aussi dans dépôt privé la colonne signataire :

Dans notre cas, chaque technicien a sa propre clé issue d'une CA générale

Et donc vous savez qui a signée le paquet (machine, unit ou group, ou le paquet base en lui même)

Comme le paquet par exemple tis-7zip peut venir de plusieurs endroit (du paquet machine, du paquet unit, d'un paquet group, d'une dépendance indirecte, du selfservice ou même de tout en même temps )

Il faut donc déduire avec la liste des paquets installée.

Simon


Le 26/03/2021 à 10:43, Moha AHBAR a écrit :

Bonjour,
Merci pour ces réponses.
Je souhaite simplement savoir qui a signé et déployer un paquet donnée.

m.


De: "Simon FONTENEAU via WAPT" <wapt@lists.tranquil.it>
À: wapt@lists.tranquil.it
Cc: "Simon FONTENEAU" <sfonteneau@tranquil.it>
Envoyé: Vendredi 26 Mars 2021 09:37:18
Objet: Re: [Wapt]  un second certificat (et même plusieurs) permettant à un/ou des collègues de signer des paquets

Pour répondre a la question de la 2.0

Le système de PKI restera en place comme dans la 1.8 (même system finalement que le schemas dans la doc)

https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca

Ce système de pki reste en place pour garantir que le serveur n'est pas un bien sensible, pour résumer si un pirate réussi a prendre la main sur le serveur, il ne pourra pas éditer les paquet wapt puisque il n'a pas la clé privé.

La 2.0 apporte des acl supplémentaire mais cette fois ci au niveau du serveur

Pour résumer, l'ajout en 2.0:

- Filtrer les upload de paquet (nom du paquet ,type de paquet)

- Filtrer l'affichage console (filtrer en fonction d'un certificat, mise en place de la pki toujours nécessaire donc)

- Filtrer les actions websocket (upgrade/update ..)

Simon



Le 26/03/2021 à 08:59, Gaëtan SEGAT via WAPT a écrit :

Bonjour,

vous pouvez créer différents certificats avec différent niveaux aussi depuis le certificat maitre du serveur.

https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca

Gaëtan SEGAT
Administrateur Systèmes & Réseaux
Tranquil IT
12 avenue Jules Verne (Bât. A)
44230 Saint Sébastien sur Loire (FRANCE)
tel: +33 (0) 240 975 755
Bannière de mail - WAPT 2.0 : Sécurisez votre système d'information
Le 25/03/2021 à 10:17, Moha AHBAR a écrit :

Bonjour,

J’ai la version entreprise 1.8.

J’ai un certificat pour signer les paquets, puis-je créer un second certificat (et même plusieurs) permettant à un/ou des collègues de signer des paquets. Ainsi on sait qui a signé quoi.

Je sais que cela est possible grâce à une PKI dans ma version actuelle 1.8.


Mais est-ce que cela est possible sans la PKI dans la version 1.8?


Dans la version 2 (qui arrive) aurons-nous cette possibilité de façon plus simple. J’ai parcouru les quelques explications mais ces derniers ne répondent pas à mon interrogation.


Merci pour ttes infos,


m.


_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt


_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt

_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt