Узел Metro: Процедура проверки подписи кода для узла Metro

Как проверить подпись в среде заказчика.

Для любого заданного выпуска узла Metro используются шесть файлов для проверки целостности и подлинности пакетов программного обеспечения.
 

• Два хэш-файла, каждый из которых содержит список пакетов, принадлежащих к выпуску, и их хэш-файлы в формате sha256 или md5. Пример: VPlex-7.0.1.02.00.01-sha256-checksums.txt
• Два файла подписи, каждый из которых содержит криптографическую подпись соответствующего хэш-файла и сертификат подлинности, подписанный закрытым ключом Dell. Эти файлы имеют расширение .sign. Пример: VPlex-7.0.1.02.00.01-sha256-checksums.txt.sign.
• Сценарий проверки подписи и подлинности общедоступного ключа. Этот файл называется «vplex_check_signature».
• Файл цепочки сертификатов с именем «css-cert.pem», используемый для проверки сертификата. 
• Файл CRL, извлеченный из Интернета
• Корневой файл ЦС, добавленный в цепочку с помощью vplex_check_signature сервера.

Чтобы выполнить проверку подписи кода, выполните следующие действия:
 

1. Получите корневой ЦС и файлы CRL, которые используются для проверки сертификата, который подписан кодом. Если вы настроите DNS на узле Metro, выполните этот шаг на системе. В противном случае соберите корневой ЦС и CRL в другой системе и скопируйте их в узел Metro.

$ curl https://web.entrust.com/root-certificates/entrust_g2_ca.cer --output entrust_g2_ca.cer
$ curl http://crl.entrust.net/evcs2.crl --output evcs2.crl

2. Проверьте действительность сценария «vplex_check_signature». Хэш-таблицы:

• MD5.     a06c0093599411be3a81c70b65f3aa68 vplex_check_signature
• SHA1.    b1611f6bb81efe687e21963a020fc30f1fe3787c vplex_check_signature
• SHA256.  0a83dc67dbe2d6ef2872c833548d8c17f8ff3590a4039e52ed3bed1b79538d65 vplex_check_signature

3. После скачивания корневого ЦС и файла CRL на тот же компьютер, что и три файла, описанных в начале этой статьи, и проверки целостности сценария «vplex_check_signature», запустите сценарий для проверки подписей кода.

$ ./vplex_check_signature VPlex--md5-checksums.txt VPlex--md5-checksums.txt.sign css-cert.pem evcs2.crl entrust_g2_ca.cer
Verified

$ ./vplex_check_signature VPlex--sha256-checksums.txt VPlex--sha256-checksums.txt.sign css-cert.pem evcs2.crl entrust_g2_ca.cer
Verified

4. Наконец, после проверки того, что хэш-файлы не были взломанные, можно проверить, что отдельные пакеты не изменились с помощью сценария «vplex_check_hashes». Хэш-хэш для этого сценария:

• MD5.     5e00e8ba9e1d678c4cfe44960508239c vplex_check_hashes
• SHA1.    64d09eea2af149efc21d458ce5754bf2eb48b3e9 vplex_check_hashes
• SHA256. 438d38501dc6947f5f125c1bd74d3caa67a5540f4763c66242b6eb03d7f87d76 vplex_check_hashes

$ ./vplex_check_hashes VPlex--md5-checksums.txt
3b59c2415a29e23e526749943340faa6  VPlex--management-server-package.tar: Verified
952c9b3b89a6ac701fcb3f0a6ab64b75  VPlex--director-field-disk-image.tar: Verified
bbdf103f82cddedc80851e3edaf76707  VPlex--cluster-witness-server.vhd: Verified
c64c8289de5b05074a773a28f0a0d6e9  VPlex--cluster-witness-server.ova: Verified
8005c0fb66abb95d4e2565b546d96157  VPlex--manifest.xml: Verified
c70aba3e40f0a1aee4ab65bad62fc036  VPlex--management-server.iso: Verified
1069e4fdeeb77f41ef497968490956c2  VPlex--director-firmware-package.tar: Verified
4740964a969acb1502e72752a9dbd223  VPlex--management-server-field-disk-image.tar: Verified
0cf31f1103f498ce74311979d7972b17  VPlex-.zip: Verified
$ ./vplex_check_hashes VPlex--sha256-checksums.txt
3b59c2415a29e23e526749943340faa6  VPlex--management-server-package.tar: Verified
952c9b3b89a6ac701fcb3f0a6ab64b75  VPlex--director-field-disk-image.tar: Verified
bbdf103f82cddedc80851e3edaf76707  VPlex--cluster-witness-server.vhd: Verified
c64c8289de5b05074a773a28f0a0d6e9  VPlex--cluster-witness-server.ova: Verified
8005c0fb66abb95d4e2565b546d96157  VPlex--manifest.xml: Verified
c70aba3e40f0a1aee4ab65bad62fc036  VPlex--management-server.iso: Verified
1069e4fdeeb77f41ef497968490956c2  VPlex--director-firmware-package.tar: Verified
4740964a969acb1502e72752a9dbd223  VPlex--management-server-field-disk-image.tar: Verified
0cf31f1103f498ce74311979d7972b17  VPlex-.zip: Verified

Если для всех указанных выше команд отображается сообщение «Verified» (Проверено), пакеты выпусков проверяются как аутентификация.