Verifique a assinatura do código do ONTAP Mediator
Você deve verificar a assinatura do código do ONTAP Mediator antes de instalar o pacote de instalação do ONTAP Mediator.
Antes de verificar a assinatura do código do ONTAP Mediator, o sistema deve atender aos seguintes requisitos.
-
openssl versões 1.0.2 a 3,0 para verificação básica
-
openssl versão 1.1.0 ou posterior para operações de Time Stamping Authority (TSA)
-
Acesso público à Internet para verificação OCSP
Os seguintes arquivos estão incluídos no pacote de download:
Ficheiro |
Descrição |
|
A chave pública usada para verificar a assinatura |
|
A cadeia de confiança da CA de certificação pública |
|
O certificado usado para gerar a chave |
|
O executável de instalação do produto para a versão 1.9.0 |
|
O hash SHA-256 e depois o RSA-assinado usando a chave csc-prod, assinatura para o instalador |
|
A solicitação de revogação para uso pelo OCSCP para a assinatura do instalador |
|
O arquivo de solicitação de assinatura de carimbo de data/hora |
|
O certificado público para o TSR |
|
O certificado público CA Chain para o TSR |
-
Efetue a verificação de revogação
csc-prod-ONTAP-Mediator.pem
utilizando o OCSP (Online Certificate Status Protocol).-
Localize o URL OCSP usado para Registrar o certificado porque os certificados de desenvolvedor podem não fornecer um uri.
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Gerar uma solicitação OCSP para o certificado.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Conete-se ao Gerenciador OCSP para enviar a solicitação OCSP:
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Verifique a cadeia de confiança do CSC e as datas de expiração em relação ao host local:
openssl verify
A openssl
versão DO CAMINHO deve ter um válidocert.pem
(não autoassinado).openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.
-
Verifique os
ontap-mediator-1.9.0.sig.tsr
arquivos eontap-mediator-1.9.0.tsr
usando os certificados associados:openssl ts -verify
.tsr
os ficheiros contêm a resposta de carimbo de hora associada ao instalador e à assinatura de código. O processamento confirma que o carimbo de data/hora tem uma assinatura válida da TSA e que o seu ficheiro de entrada não foi alterado. A verificação é efetuada localmente na sua máquina. Independentemente, não há necessidade de acessar servidores TSA.openssl ts -verify -data ontap-mediator-1.9.0.sig -in ontap-mediator-1.9.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem openssl ts -verify -data ontap-mediator-1.9.0 -in ontap-mediator-1.9.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem
-
Verifique assinaturas contra a chave:
openssl -dgst -verify
openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.9.0.sig ontap-mediator-1.9.0
Exemplo de verificação da assinatura do código do ONTAP Mediator (saída do console)
[root@scspa2695423001 ontap-mediator-1.9.0]# pwd /root/ontap-mediator-1.9.0 [root@scspa2695423001 ontap-mediator-1.9.0]# ls -l total 63660 -r--r--r-- 1 root root 8582 Feb 19 15:02 csc-prod-chain-ONTAP-Mediator.pem -r--r--r-- 1 root root 2373 Feb 19 15:02 csc-prod-ONTAP-Mediator.pem -r-xr-xr-- 1 root root 65132818 Feb 20 15:17 ontap-mediator-1.9.0 -rw-r--r-- 1 root root 384 Feb 20 15:17 ontap-mediator-1.9.0.sig -rw-r--r-- 1 root root 5437 Feb 20 15:17 ontap-mediator-1.9.0.sig.tsr -rw-r--r-- 1 root root 5436 Feb 20 15:17 ontap-mediator-1.9.0.tsr -r--r--r-- 1 root root 625 Feb 19 15:02 ONTAP-Mediator-production.pub -r--r--r-- 1 root root 3323 Feb 19 15:02 tsa-prod-chain-ONTAP-Mediator.pem -r--r--r-- 1 root root 1740 Feb 19 15:02 tsa-prod-ONTAP-Mediator.pem [root@scspa2695423001 ontap-mediator-1.9.0]# [root@scspa2695423001 ontap-mediator-1.9.0]# /root/verify_ontap_mediator_signatures.sh ++ openssl version -d ++ cut -d '"' -f2 + OPENSSLDIR=/etc/pki/tls + openssl version OpenSSL 1.1.1k FIPS 25 Mar 2021 ++ openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem + ocsp_uri=http://ocsp.entrust.net + echo http://ocsp.entrust.net http://ocsp.entrust.net + openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der + openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url http://ocsp.entrust.net -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: C = US, O = "Entrust, Inc.", CN = Entrust Extended Validation Code Signing CA - EVCS2 Produced At: Feb 28 05:01:00 2023 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 69FA640329AB84E27220FE0927647B8194B91F2A Issuer Key Hash: CE894F8251AA15A28462CA312361D261FBF8FE78 Serial Number: 511A542B57522AEB7295A640DC6200E5 Cert Status: good This Update: Feb 28 05:00:00 2023 GMT Next Update: Mar 4 04:59:59 2023 GMT Signature Algorithm: sha512WithRSAEncryption 3c:1d:49:b0:93:62:37:3e:c7:38:e3:9f:9f:62:82:73:ed:f4: ea:00:6b:f1:01:cd:79:57:92:f1:9d:5d:85:9b:60:59:f8:6c: e6:f4:50:51:f3:4c:8a:51:dd:50:68:16:8f:20:24:7e:39:b0: 44:94:8d:b0:61:da:b9:08:36:74:2d:44:55:62:fb:92:be:4a: e7:6c:8c:49:dd:0c:fd:d8:ce:20:08:0d:0f:5a:29:a3:19:03: 9f:d3:df:41:f4:89:0f:73:18:3f:ac:bb:a7:a3:96:7d:c5:70: 4c:57:cd:17:17:c6:8a:60:d1:37:c9:2d:81:07:2a:d7:a6:02: ee:ce:88:16:22:db:e3:43:64:1e:9b:0d:4d:31:66:fa:ab:a5: 52:99:94:4a:4a:d0:52:c5:34:f5:18:c7:15:5b:ce:74:c2:fc: 61:ea:55:aa:f1:2f:82:a3:6a:95:8d:7e:2b:38:49:4f:bf:b1: 68:7b:1b:24:8b:1f:4d:c5:77:f0:71:af:9c:34:c8:7a:82:50: 09:a2:19:6e:c6:30:4f:da:a2:79:08:f9:d0:ff:85:d9:2a:84: cf:0c:aa:75:8f:72:c9:a7:a2:83:e8:8b:cf:ed:0c:69:75:b6: 2a:7b:6b:58:99:01:d8:34:ad:e1:89:25:27:1b:fa:d9:6d:32: 97:3a:0b:0a:8e:a3:9e:e3:f4:e0:d6:1a:c9:b5:14:8c:3e:54: 3b:37:17:1a:93:44:84:8b:4a:87:97:1e:76:43:3e:d3:ec:8b: 7e:56:4a:3f:01:31:c0:e5:58:fb:50:ce:6f:b1:e7:35:f9:b7: a3:ef:6b:3b:21:95:37:a6:5b:8f:f0:15:18:36:65:89:a1:9c: 9b:69:00:b4:b1:65:6a:bc:11:2d:d4:9b:b4:97:cc:cb:7a:0c: 16:11:c1:75:58:7e:13:ab:56:3c:3f:93:5b:95:24:c6:54:52: 1f:86:a9:16:ce:d9:ea:8b:3a:f3:4f:c4:8f:ad:de:e8:3e:3c: d2:51:51:ad:33:7f:d8:c5:33:24:26:f1:2d:9d:0e:9f:55:d0: 68:bf:af:bd:68:4a:40:08:bc:92:a0:62:54:7d:16:7b:36:29: 15:b1:cd:58:8e:fb:4a:f2:3e:94:8b:fe:56:95:cc:24:32:af: 5f:71:99:18:ed:0c:64:94:f7:54:48:87:48:d0:6d:b3:42:04: 96:03:73:a2:8e:8a:6a:b2:af:ee:56:19:a1:c6:35:12:59:ad: 19:6a:fe:e0:f1:27:cc:96:4e:f0:4f:fb:6a:bd:ce:05:2c:aa: 79:7c:df:02:5c:ca:53:7d:60:12:88:7c:ce:15:c7:d4:02:27: c1:ab:cf:71:30:1e:14:ba WARNING: no nonce in response Response verify OK csc-prod-ONTAP-Mediator.pem: good This Update: Feb 28 05:00:00 2023 GMT Next Update: Mar 4 04:59:59 2023 GMT + openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath /etc/pki/tls csc-prod-ONTAP-Mediator.pem csc-prod-ONTAP-Mediator.pem: OK + openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath /etc/pki/tls tsa-prod-ONTAP-Mediator.pem tsa-prod-ONTAP-Mediator.pem: OK + openssl ts -verify -data ontap-mediator-1.9.0.sig -in ontap-mediator-1.9.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem Using configuration from /etc/pki/tls/openssl.cnf Verification: OK + openssl ts -verify -data ontap-mediator-1.9.0 -in ontap-mediator-1.9.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem Using configuration from /etc/pki/tls/openssl.cnf Verification: OK + openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.9.0.sig ontap-mediator-1.9.0 Verified OK [root@scspa2695423001 ontap-mediator-1.9.0]#