Verifique a assinatura do código do ONTAP Mediator
Sugerir alterações
PDFs
A NetApp recomenda verificar a assinatura de código do ONTAP Mediator antes da instalação. Esta etapa é opcional.
Certifique-se de que seu sistema atenda a esses requisitos antes de verificar a assinatura de código do ONTAP Mediator.
|
|
-
openssl versões 1.0.2 a 3,0 para verificação básica
-
openssl versão 1.1.0 ou posterior para operações de Time Stamping Authority (TSA)
-
Acesso público à Internet para verificação OCSP
O pacote de download inclui os seguintes arquivos:
Ficheiro |
Descrição |
|
A chave pública usada para verificar a assinatura |
|
A cadeia de confiança da CA de certificação pública |
|
O certificado usado para gerar a chave |
|
O executável de instalação do produto para a versão 1.11 |
|
O hash SHA-256 e depois o RSA-assinado usando a chave csc-prod, assinatura para o instalador |
|
A solicitação de revogação para uso pelo OCSCP para a assinatura do instalador |
|
O arquivo de solicitação de assinatura de carimbo de data/hora |
|
O certificado público para o TSR |
|
O certificado público CA Chain para o TSR |
-
Efetue a verificação de revogação
csc-prod-ONTAP-Mediator.pemutilizando o OCSP (Online Certificate Status Protocol).-
Encontre a URL OCSP do certificado. Os certificados de desenvolvedor podem não fornecer um URI:
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Gerar uma solicitação OCSP para o certificado.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Conete-se ao Gerenciador OCSP para enviar a solicitação OCSP:
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Verifique a cadeia de confiança do CSC e as datas de expiração em relação ao host local:
openssl verify
A opensslversão DO CAMINHO deve ter um válidocert.pem(não autoassinado).openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. -
Verifique o
ontap-mediator-1.11.0.sig.tsreontap-mediator-1.11.0.tsrarquivos usando os certificados associados:OpenSSL 3.xopenssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pemOpenSSL 1.xopenssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain
`.tsr`Os arquivos contêm o registro de data e hora da resposta associada ao instalador e a assinatura do código. O processamento confirma que o carimbo de data/hora possui uma assinatura válida da TSA e que seu arquivo de entrada não foi alterado. Sua máquina realiza a verificação localmente. Você não precisa acessar os servidores da TSA. -
Verifique assinaturas contra a chave:
openssl -dgst -verifyopenssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0