Verificare la firma del codice del mediatore ONTAP
Suggerisci modifiche
PDF
NetApp consiglia di verificare la firma del codice ONTAP Mediator prima dell'installazione. Questo passaggio è facoltativo.
Prima di verificare la firma del codice ONTAP Mediator, accertarsi che il sistema soddisfi queste esigenze.
|
|
-
openssl versioni da 1.0.2 a 3.0 per la verifica di base
-
openssl versione 1.1.0 o successiva per le operazioni TSA (Time Stamping Authority)
-
Accesso a Internet pubblico per la verifica OCSP
Il pacchetto di download include i seguenti file:
File |
Descrizione |
|
Chiave pubblica utilizzata per verificare la firma |
|
Catena di trust della CA per la certificazione pubblica |
|
Il certificato utilizzato per generare la chiave |
|
L'eseguibile di installazione del prodotto per la versione 1.11 |
|
SHA-256 ha eseguito l'hashing, quindi ha firmato RSA utilizzando la chiave csc-PROD, firma per l'installatore |
|
La richiesta di revoca per l'utilizzo da parte di OCSCP per la firma dell'installatore |
|
File di richiesta firma timestamp |
|
Il certificato pubblico per il TSR |
|
La catena CA del certificato pubblico per il TSR |
-
Eseguire il controllo della revoca su
csc-prod-ONTAP-Mediator.pemUtilizzando il protocollo OCSP (Online Certificate Status Protocol).-
Trova l'URL OCSP per il certificato. I certificati degli sviluppatori potrebbero non fornire un URI:
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Generare una richiesta OCSP per il certificato.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Connettersi a OCSP Manager per inviare la richiesta OCSP:
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Verificare la catena di attendibilità del CSC e le date di scadenza rispetto all'host locale:
openssl verify
Il opensslLa versione dal PERCORSO deve avere un validocert.pem(non autofirmato).openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. -
Verificare il
ontap-mediator-1.11.0.sig.tsrEontap-mediator-1.11.0.tsrfile utilizzando i certificati associati:OpenSSL 3.xopenssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pemOpenSSL 1.xopenssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain
`.tsr`I file contengono la risposta con timestamp associata al programma di installazione e la firma del codice. L'elaborazione conferma che il timestamp ha una firma valida da parte della TSA e che il file di input non è stato modificato. La macchina esegue la verifica localmente. Non è necessario accedere ai server TSA. -
Verificare le firme rispetto alla chiave:
openssl -dgst -verifyopenssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0