[Wapt] un second certificat (et même plusieurs) permettant à un/ou des collègues de signer des paquets
Simon FONTENEAU
sfonteneau at tranquil.it
Lun 29 Mar 11:54:15 CEST 2021
Bonjour Moha
Avant toute chose vérifiez bien que vous êtes dans la dernière version
de wapt
La case "Certificat de CA" signifie que la clé que vous générer pourra
créer des enfant.
Globalement vous allez créer une CA par "droit", Par exemple CA1.crt
(Site1) , CA2.crt (Site2), GLOBAL.crt (copier sur les sites)
Globalement les pc du site1 ont C:\Program Files
(x86)\wapt\ssl\ca1.crt + C:\Program Files (x86)\wapt\ssl\global.crt
les pc du site2 : C:\Program Files (x86)\wapt\ssl\ca2.crt + C:\Program
Files (x86)\wapt\ssl\global.crt
Les ca n’ont pas de parent.
- Ensuite quand vous allez générer une clé pour votre technicien, Vous
allez pouvoir mettre son nom dans "Common Name"
- Vous ne devez pas cocher la case certificat de CA puisque votre
technicien ne doit pas pouvoir émettre de clé enfant
- Certificat de développeur (cocher uniquement la case si votre
technicien a l'autorisation de dupliquer des paquets depuis internet ou
de créer ses propre paquet)
- Certificat authentification client ( globalement cocher la tous le temps)
En ensuite avant de cliquer sur ok vous devez définir qui est son parent :
Ici vous pouvez donc sélectionner les clé Global :le technicien pourra
contrôler le parc entier, ou la ca1: le technicien n'aura l'accès qu'au
site 1, ou la ca2: le technicien n'aura l'accès qu'au site 2
Ensuite lorsque vous ouvrez (avez windows) le certificat du technicien
vous pouvez voir qui est l’émetteur :
Simon Fonteneau
Le 26/03/2021 à 14:46, Moha AHBAR a écrit :
>
> Je résumé.
> Pour le moment je suis la seule personne admin de wapt ( serveur et
> console).
> Je souhaite que deux de mes collegues signent et déploient des paquets
> Wapt via la console mais avec une clé a leur nom.
> Pour cela je crée une clé, pour chacun de mes collegues, avec
> l'assistant ci-dessous, en cochant seulement "Certificat de développeur":
>
> Clé privée du développeur + certificat
>
>
>
> Permet l’authentification sur la console WAPT + interactions avec les
> agents WAPT + signature de paquets WAPT
>
>
>
>
> Ensuite chacun de mes collegues auront accès à la console et ainsi ils
> pourront signer et déployer des paquets Wapt sur l'ensemble des clients.
> Et ceci a partir de leur pc respectif.
>
> merci,
> m.
>
>
>
>
> ------------------------------------------------------------------------
>
> *De: *"Simon FONTENEAU" <sfonteneau at tranquil.it>
> *À: *"Moha AHBAR" <moha.ahbar at lapth.cnrs.fr>, wapt at lists.tranquil.it
> *Envoyé: *Vendredi 26 Mars 2021 13:41:59
> *Objet: *Re: [Wapt] un second certificat (et même plusieurs)
> permettant à un/ou des collègues de signer des paquets
>
> Vous avez dans l'inventaire machine (général) et aussi dans dépôt
> privé la colonne signataire :
>
> Dans notre cas, chaque technicien a sa propre clé issue d'une CA
> générale
>
> Et donc vous savez qui a signée le paquet (machine, unit ou group,
> ou le paquet base en lui même)
>
> Comme le paquet par exemple tis-7zip peut venir de plusieurs
> endroit (du paquet machine, du paquet unit, d'un paquet group,
> d'une dépendance indirecte, du selfservice ou même de tout en même
> temps )
>
> Il faut donc déduire avec la liste des paquets installée.
>
> Simon
>
>
> Le 26/03/2021 à 10:43, Moha AHBAR a écrit :
>
> Bonjour,
> Merci pour ces réponses.
> Je souhaite simplement savoir qui a signé et déployer un paquet
> donnée.
>
> m.
>
>
> ------------------------------------------------------------------------
>
> *De: *"Simon FONTENEAU via WAPT" <wapt at lists.tranquil.it>
> <mailto:wapt at lists.tranquil.it>
> *À: *wapt at lists.tranquil.it <mailto:wapt at lists.tranquil.it>
> *Cc: *"Simon FONTENEAU" <sfonteneau at tranquil.it>
> <mailto:sfonteneau at tranquil.it>
> *Envoyé: *Vendredi 26 Mars 2021 09:37:18
> *Objet: *Re: [Wapt] un second certificat (et même plusieurs)
> permettant à un/ou des collègues de signer des paquets
>
> Pour répondre a la question de la 2.0
>
> Le système de PKI restera en place comme dans la 1.8 (même
> system finalement que le schemas dans la doc)
>
> https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca
> <https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca>
>
> Ce système de pki reste en place pour garantir que le serveur
> n'est pas un bien sensible, pour résumer si un pirate réussi a
> prendre la main sur le serveur, il ne pourra pas éditer les
> paquet wapt puisque il n'a pas la clé privé.
>
> La 2.0 apporte des acl supplémentaire mais cette fois ci au
> niveau du serveur
>
> Pour résumer, l'ajout en 2.0:
>
> - Filtrer les upload de paquet (nom du paquet ,type de paquet)
>
> - Filtrer l'affichage console (filtrer en fonction d'un
> certificat, mise en place de la pki toujours nécessaire donc)
>
> - Filtrer les actions websocket (upgrade/update ..)
>
> Simon
>
>
>
> Le 26/03/2021 à 08:59, Gaëtan SEGAT via WAPT a écrit :
>
> Bonjour,
>
> vous pouvez créer différents certificats avec différent
> niveaux aussi depuis le certificat maitre du serveur.
>
> https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca
> <https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca>
>
> *Gaëtan SEGAT*
> *Administrateur Systèmes & Réseaux*
> Tranquil IT
> 12 avenue Jules Verne (Bât. A)
> 44230 Saint Sébastien sur Loire (FRANCE)
> tel: +33 (0) 240 975 755
> ------------------------------------------------------------------------
> Bannière de mail - WAPT 2.0 : Sécurisez votre système
> d'information
> <https://www.tranquil.it/wapt-2-0-securiser-systeme-information/>
>
> Le 25/03/2021 à 10:17, Moha AHBAR a écrit :
>
> Bonjour,
>
> J’ai la version entreprise 1.8.
>
> J’ai un certificat pour signer les paquets, puis-je créer un
> second certificat (et même plusieurs) permettant à un/ou des
> collègues de signer des paquets. Ainsi on sait qui a signé quoi.
>
> Je sais que cela est possible grâce à une PKI dans ma
version
> actuelle 1.8.
>
>
> Mais est-ce que cela est possible sans la PKI dans la version 1.8?
>
>
> Dans la version 2 (qui arrive) aurons-nous cette possibilité
> de façon plus simple. J’ai parcouru les quelques explications
> mais ces derniers ne répondent pas à mon interrogation.
>
>
> Merci pour ttes infos,
>
>
> m.
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
> http://lists.tranquil.it/listinfo/wapt <http://lists.tranquil.it/listinfo/wapt>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
> http://lists.tranquil.it/listinfo/wapt <http://lists.tranquil.it/listinfo/wapt>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
> http://lists.tranquil.it/listinfo/wapt
> <http://lists.tranquil.it/listinfo/wapt>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20210329/b4b302d8/attachment.htm>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: ca.PNG
Type: image/png
Taille: 8100 octets
Desc: non disponible
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20210329/b4b302d8/attachment.png>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: crt.PNG
Type: image/png
Taille: 13181 octets
Desc: non disponible
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20210329/b4b302d8/attachment-0001.png>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: 15270063
Type: image/png
Taille: 17011 octets
Desc: non disponible
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20210329/b4b302d8/attachment-0002.png>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signataire.PNG
Type: image/png
Taille: 17127 octets
Desc: non disponible
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20210329/b4b302d8/attachment-0003.png>
Plus d'informations sur la liste de diffusion WAPT