Vérifiez la signature du code du médiateur ONTAP
Suggérer des modifications
PDF
NetApp recommande de vérifier la signature du code ONTAP Mediator avant l'installation. Cette étape est facultative.
Assurez-vous que votre système répond à ces exigences avant de vérifier la signature du code du médiateur ONTAP .
|
|
-
openssl versions 1.0.2 à 3.0 pour la vérification de base
-
openssl version 1.1.0 ou ultérieure pour les opérations TSA (Time Stamping Authority)
-
Accès public Internet pour vérification OCSP
Le package de téléchargement comprend les fichiers suivants :
Fichier |
Description |
|
Clé publique utilisée pour vérifier la signature |
|
La chaîne de confiance de l'autorité de certification publique |
|
Certificat utilisé pour générer la clé |
|
Le fichier exécutable d'installation du produit pour la version 1.11 |
|
Le SHA-256 a été écrasé, puis signé par RSA à l'aide de la clé csc-prod, signature de l'installateur |
|
La demande de révocation que OCSCP doit utiliser pour la signature de l’installateur |
|
Fichier de requête de signature d'horodatage |
|
Le certificat public pour le TSR |
|
La chaîne CA du certificat public pour le TSR |
-
Effectuez la vérification de révocation sur
csc-prod-ONTAP-Mediator.pemVia le protocole OCSP (Online Certificate Status Protocol).-
Trouvez l'URL OCSP du certificat. Les certificats de développeur peuvent ne pas fournir d'URI :
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Générez une demande OCSP pour le certificat.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Connectez-vous au OCSP Manager pour envoyer la demande OCSP :
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Vérifiez la chaîne de confiance du CSC et sa date d'expiration par rapport à l'hôte local :
openssl verify
Le opensslLa version du CHEMIN d'ACCÈS doit être validecert.pem(pas auto-signé).openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. -
Vérifiez le
ontap-mediator-1.11.0.sig.tsretontap-mediator-1.11.0.tsrfichiers utilisant les certificats associés :OpenSSL 3.xopenssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pemOpenSSL 1.xopenssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain
`.tsr`Les fichiers contiennent l'horodatage de la réponse associé au programme d'installation et la signature du code. Le traitement confirme que l'horodatage comporte une signature valide de la TSA et que votre fichier d'entrée n'a pas été modifié. Votre machine effectue la vérification localement. Vous n'avez pas besoin d'accéder aux serveurs de la TSA. -
Vérifiez les signatures par rapport à la clé :
openssl -dgst -verifyopenssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0