Węzeł Metro: Procedura weryfikacji podpisu kodu dla węzła Metro

Weryfikacja podpisu w środowisku klienta.

W przypadku danej wersji węzła Metro istnieje sześć plików, które są używane do weryfikacji integralności i autentyczności pakietów oprogramowania.
 

• Dwa pliki skrótu, z których każdy zawiera listę pakietów, które należą do wersji, i ich skróty w formacie sha256 lub md5. Przykład: VPlex-7.0.1.02.00.01-sha256-checksums.txt
• Dwa pliki podpisów, z których każdy zawiera sygnaturę kryptograficzną odpowiedniego pliku skrótu oraz certyfikat autentyczności podpisany kluczem prywatnym firmy Dell. Pliki te mają rozszerzenie ".sign". Przykładem może być VPlex-7.0.1.02.00.01-sha256-checksums.txt.sign.
• Skrypt umożliwiający weryfikację podpisu i autentyczności klucza publicznego. Plik ten nosi nazwę "vplex_check_signature".
• Plik łańcucha certyfikatów o nazwie "css-cert.pem", używany do weryfikacji certyfikatu. 
• Plik CRL pobrany z internetu
• Plik głównego urzędu certyfikacji dodany do łańcucha za pomocą skryptu vplex_check_signature.

Wykonaj poniższe czynności, aby przeprowadzić weryfikację podpisu kodu:
 

1. Uzyskaj pliki głównego urzędu certyfikacji i CRL, które są używane do weryfikacji certyfikatu, który podpisywał kod. Jeśli skonfigurowano DNS w węźle Metro, wykonaj ten krok w samym systemie. W przeciwnym razie zbierz główny urząd certyfikacji i CRL w innym systemie i skopiuj je do węzła metro.

$ curl https://web.entrust.com/root-certificates/entrust_g2_ca.cer --output entrust_g2_ca.cer
$ curl http://crl.entrust.net/evcs2.crl --output evcs2.crl

2. Sprawdź ważność skryptu "vplex_check_signature". Skróty są następujące:

• MD5:     a06c0093599411be3a81c70b65f3aa68 vplex_check_signature
• SHA1:    b1611f6bb81efe687e21963a020fc30f1fe3787c vplex_check_signature
• SHA256:  0a83dc67dbe2d6ef2872c833548d8c17f8ff3590a4039e52ed3bed1b79538d65 vplex_check_signature

3. Po pobraniu głównego urzędu certyfikacji i pliku CRL na ten sam komputer, co trzy pliki opisane na początku tego artykułu, a integralność skryptu "vplex_check_signature" zostanie zweryfikowana, uruchom skrypt, aby zweryfikować podpisy kodu.

$ ./vplex_check_signature VPlex--md5-checksums.txt VPlex--md5-checksums.txt.sign css-cert.pem evcs2.crl entrust_g2_ca.cer
Verified

$ ./vplex_check_signature VPlex--sha256-checksums.txt VPlex--sha256-checksums.txt.sign css-cert.pem evcs2.crl entrust_g2_ca.cer
Verified

4. Na koniec, po sprawdzeniu, czy pliki skrótu nie zostały naruszone, można sprawdzić, czy poszczególne pakiety nie uległy zmianie za pomocą skryptu "vplex_check_hashes". Skróty dla tego skryptu są następujące:

• MD5:     5e00e8ba9e1d678c4cfe44960508239c vplex_check_hashes
• SHA1:    64d09ea2af149efc21d458ce5754bf2eb48b3e9 vplex_check_hashes
• SHA256: 438d38501dc6947f5f125c1bd74d3caa67a5540f4763c66242b6eb03d7f87d76 vplex_check_hashes

$ ./vplex_check_hashes VPlex--md5-checksums.txt
3b59c2415a29e23e526749943340faa6  VPlex--management-server-package.tar: Verified
952c9b3b89a6ac701fcb3f0a6ab64b75  VPlex--director-field-disk-image.tar: Verified
bbdf103f82cddedc80851e3edaf76707  VPlex--cluster-witness-server.vhd: Verified
c64c8289de5b05074a773a28f0a0d6e9  VPlex--cluster-witness-server.ova: Verified
8005c0fb66abb95d4e2565b546d96157  VPlex--manifest.xml: Verified
c70aba3e40f0a1aee4ab65bad62fc036  VPlex--management-server.iso: Verified
1069e4fdeeb77f41ef497968490956c2  VPlex--director-firmware-package.tar: Verified
4740964a969acb1502e72752a9dbd223  VPlex--management-server-field-disk-image.tar: Verified
0cf31f1103f498ce74311979d7972b17  VPlex-.zip: Verified
$ ./vplex_check_hashes VPlex--sha256-checksums.txt
3b59c2415a29e23e526749943340faa6  VPlex--management-server-package.tar: Verified
952c9b3b89a6ac701fcb3f0a6ab64b75  VPlex--director-field-disk-image.tar: Verified
bbdf103f82cddedc80851e3edaf76707  VPlex--cluster-witness-server.vhd: Verified
c64c8289de5b05074a773a28f0a0d6e9  VPlex--cluster-witness-server.ova: Verified
8005c0fb66abb95d4e2565b546d96157  VPlex--manifest.xml: Verified
c70aba3e40f0a1aee4ab65bad62fc036  VPlex--management-server.iso: Verified
1069e4fdeeb77f41ef497968490956c2  VPlex--director-firmware-package.tar: Verified
4740964a969acb1502e72752a9dbd223  VPlex--management-server-field-disk-image.tar: Verified
0cf31f1103f498ce74311979d7972b17  VPlex-.zip: Verified

Jeśli dla wszystkich powyższych poleceń zostanie wyświetlony komunikat Verified (Weryfikacja), pakiety wersji zostaną zweryfikowane jako autentyczne.