<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Bonjour Moha</p>
<p>Avant toute chose vérifiez bien que vous êtes dans la dernière
version de wapt <br>
</p>
<p>La case "Certificat de CA" signifie que la clé que vous générer
pourra créer des enfant. <br>
</p>
<p>Globalement vous allez créer une CA par "droit", Par exemple
CA1.crt (Site1) , CA2.crt (Site2), GLOBAL.crt (copier sur les
sites)</p>
<p>Globalement les pc du site1 ont C:\Program Files
(x86)\wapt\ssl\ca1.crt + C:\Program Files
(x86)\wapt\ssl\global.crt</p>
<p>les pc du site2 : C:\Program Files (x86)\wapt\ssl\ca2.crt +
C:\Program Files (x86)\wapt\ssl\global.crt</p>
<p>Les ca n’ont pas de parent.<br>
</p>
<p>- Ensuite quand vous allez générer une clé pour votre technicien,
Vous allez pouvoir mettre son nom dans "Common Name" <br>
</p>
<p>- Vous ne devez pas cocher la case certificat de CA puisque votre
technicien ne doit pas pouvoir émettre de clé enfant</p>
<p>- Certificat de développeur (cocher uniquement la case si votre
technicien a l'autorisation de dupliquer des paquets depuis
internet ou de créer ses propre paquet)</p>
<p>- Certificat authentification client ( globalement cocher la tous
le temps)</p>
<p>En ensuite avant de cliquer sur ok vous devez définir qui est son
parent : <br>
</p>
<p><img moz-do-not-send="false"
src="cid:part1.A1E62C96.E59C935B@tranquil.it" alt="" width="469"
height="163"></p>
<p>Ici vous pouvez donc sélectionner les clé Global :le technicien
pourra contrôler le parc entier, ou la ca1: le technicien n'aura
l'accès qu'au site 1, ou la ca2: le technicien n'aura l'accès
qu'au site 2</p>
<p>Ensuite lorsque vous ouvrez (avez windows) le certificat du
technicien vous pouvez voir qui est l’émetteur :</p>
<img moz-do-not-send="false"
src="cid:part2.8F4BCE79.E1CBC052@tranquil.it" alt="" width="389"
height="459">
<p>Simon Fonteneau<br>
</p>
<br>
<div class="moz-cite-prefix">Le 26/03/2021 à 14:46, Moha AHBAR a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:451832816.30568621.1616766402051.JavaMail.zimbra@lapth.cnrs.fr">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #006600">
<div><br>
</div>
<div>Je résumé.</div>
<div>Pour le moment je suis la seule personne admin de wapt (
serveur et console).</div>
<div>Je souhaite que deux de mes collegues signent et déploient<!--EndFragment-->
des paquets Wapt via la console mais avec une clé a leur nom.</div>
<div>Pour cela je crée une clé, pour chacun de mes collegues,
avec l'assistant ci-dessous, en cochant seulement "Certificat
de développeur":</div>
<div><br>
</div>
<div><!--StartFragment-->
<table class="docutils align-default" border="1">
<tbody>
<tr class="row-odd">
<td>
<p style="margin: 0px;" data-mce-style="margin: 0px;">Clé
privée du développeur + certificat</p>
</td>
<td>
<p style="margin: 0px;" data-mce-style="margin: 0px;">Permet
l’authentification sur la console WAPT +
interactions avec les agents WAPT + signature de
paquets WAPT</p>
</td>
</tr>
</tbody>
</table>
<!--EndFragment-->
<div style="clear: both;" data-mce-style="clear: both;"><br>
</div>
</div>
<div><br>
</div>
<div><img src="cid:part3.E0FB0593.2DD5D1AC@tranquil.it"
data-mce-src="imap://sfonteneau%40tranquil%2Eit@mail.tranquil.it:993/fetch%3EUID%3E/INBOX%3E3577?header=quotebody&part=1.2.2&filename=15270063"
class="" width="353" height="256"></div>
<div><br data-mce-bogus="1">
</div>
<div>Ensuite chacun de mes collegues auront accès à la console
et ainsi ils pourront signer et déployer des paquets Wapt sur
l'ensemble des clients.<br data-mce-bogus="1">
</div>
<div>Et ceci a partir de leur pc respectif.<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>merci,<br data-mce-bogus="1">
</div>
<div>m.<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><br>
</div>
<div><!--StartFragment--><br>
<!--EndFragment--></div>
<div><br>
</div>
<hr id="zwchr" data-marker="__DIVIDER__">
<div data-marker="__HEADERS__">
<blockquote style="border-left: 2px solid #1010FF;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal; text-decoration:
none; font-family: Helvetica,Arial,sans-serif; font-size:
12pt;" data-mce-style="border-left: 2px solid #1010FF;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal; text-decoration:
none; font-family: Helvetica,Arial,sans-serif; font-size:
12pt;"><b>De: </b>"Simon FONTENEAU"
<a class="moz-txt-link-rfc2396E" href="mailto:sfonteneau@tranquil.it"><sfonteneau@tranquil.it></a><br>
<b>À: </b>"Moha AHBAR" <a class="moz-txt-link-rfc2396E" href="mailto:moha.ahbar@lapth.cnrs.fr"><moha.ahbar@lapth.cnrs.fr></a>,
<a class="moz-txt-link-abbreviated" href="mailto:wapt@lists.tranquil.it">wapt@lists.tranquil.it</a><br>
<b>Envoyé: </b>Vendredi 26 Mars 2021 13:41:59<br>
<b>Objet: </b>Re: [Wapt] un second certificat (et même
plusieurs) permettant à un/ou des collègues de signer des
paquets</blockquote>
</div>
<div data-marker="__QUOTED_TEXT__">
<blockquote style="border-left: 2px solid #1010FF;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal; text-decoration:
none; font-family: Helvetica,Arial,sans-serif; font-size:
12pt;" data-mce-style="border-left: 2px solid #1010FF;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal; text-decoration:
none; font-family: Helvetica,Arial,sans-serif; font-size:
12pt;">
<p>Vous avez dans l'inventaire machine (général) et aussi
dans dépôt privé la colonne signataire :<br>
<br>
Dans notre cas, chaque technicien a sa propre clé issue
d'une CA générale</p>
<img src="cid:part4.804B7300.642AB116@tranquil.it" alt=""
data-mce-src="https://lapp-mail.in2p3.fr/service/home/~/?auth=co&loc=fr&id=582766&part=2.2&t=1616765697636"
class="" width="558" height="187">
<p>Et donc vous savez qui a signée le paquet (machine, unit
ou group, ou le paquet base en lui même)</p>
<p>Comme le paquet par exemple tis-7zip peut venir de
plusieurs endroit (du paquet machine, du paquet unit, d'un
paquet group, d'une dépendance indirecte, du selfservice
ou même de tout en même temps )</p>
<p>Il faut donc déduire avec la liste des paquets installée.</p>
<p>Simon</p>
<p><br>
</p>
<div>Le 26/03/2021 à 10:43, Moha AHBAR a écrit :</div>
<div style="font-family: 'arial' , 'helvetica' , sans-serif;
font-size: 12pt; color: #006600;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #006600;">
<div><br>
</div>
<div>Bonjour,</div>
<div>Merci pour ces réponses.</div>
<div>Je souhaite simplement savoir qui a signé et déployer
un paquet donnée.</div>
<div><br>
</div>
<div>m.</div>
<div><br>
</div>
<div><br>
</div>
<hr id="zwchr">
<div>
<blockquote style="border-left: 2px solid #1010ff;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal;
text-decoration: none; font-family: 'helvetica' ,
'arial' , sans-serif; font-size: 12pt;"
data-mce-style="border-left: 2px solid #1010ff;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal;
text-decoration: none; font-family: 'helvetica' ,
'arial' , sans-serif; font-size: 12pt;"><b>De: </b>"Simon
FONTENEAU via WAPT" <a
href="mailto:wapt@lists.tranquil.it" target="_blank"
rel="nofollow noopener noreferrer"
data-mce-href="mailto:wapt@lists.tranquil.it"
moz-do-not-send="true"><wapt@lists.tranquil.it></a><br>
<b>À: </b><a href="mailto:wapt@lists.tranquil.it"
target="_blank" rel="nofollow noopener noreferrer"
data-mce-href="mailto:wapt@lists.tranquil.it"
moz-do-not-send="true">wapt@lists.tranquil.it</a><br>
<b>Cc: </b>"Simon FONTENEAU" <a
href="mailto:sfonteneau@tranquil.it" target="_blank"
rel="nofollow noopener noreferrer"
data-mce-href="mailto:sfonteneau@tranquil.it"
moz-do-not-send="true"><sfonteneau@tranquil.it></a><br>
<b>Envoyé: </b>Vendredi 26 Mars 2021 09:37:18<br>
<b>Objet: </b>Re: [Wapt] un second certificat (et
même plusieurs) permettant à un/ou des collègues de
signer des paquets</blockquote>
</div>
<div>
<blockquote style="border-left: 2px solid #1010ff;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal;
text-decoration: none; font-family: 'helvetica' ,
'arial' , sans-serif; font-size: 12pt;"
data-mce-style="border-left: 2px solid #1010ff;
margin-left: 5px; padding-left: 5px; color: #000;
font-weight: normal; font-style: normal;
text-decoration: none; font-family: 'helvetica' ,
'arial' , sans-serif; font-size: 12pt;">
<p>Pour répondre a la question de la 2.0</p>
<p>Le système de PKI restera en place comme dans la
1.8 (même system finalement que le schemas dans la
doc)</p>
<p><a
href="https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca"
rel="nofollow noopener noreferrer nofollow
noopener noreferrer" target="_blank"
data-mce-href="https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca"
moz-do-not-send="true">https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca</a><br
data-mce-bogus="1">
</p>
<p>Ce système de pki reste en place pour garantir que
le serveur n'est pas un bien sensible, pour résumer
si un pirate réussi a prendre la main sur le
serveur, il ne pourra pas éditer les paquet wapt
puisque il n'a pas la clé privé.</p>
<p>La 2.0 apporte des acl supplémentaire mais cette
fois ci au niveau du serveur</p>
<p>Pour résumer, l'ajout en 2.0:</p>
<p>- Filtrer les upload de paquet (nom du paquet ,type
de paquet)</p>
<p>- Filtrer l'affichage console (filtrer en fonction
d'un certificat, mise en place de la pki toujours
nécessaire donc)</p>
<p>- Filtrer les actions websocket (upgrade/update ..)</p>
<p>Simon</p>
<p><br>
</p>
<p><br>
</p>
<div>Le 26/03/2021 à 08:59, Gaëtan SEGAT via WAPT a
écrit :</div>
<p>Bonjour,</p>
<p>vous pouvez créer différents certificats avec
différent niveaux aussi depuis le certificat maitre
du serveur.<br>
<br>
<a
href="https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca"
rel="nofollow noopener noreferrer nofollow
noopener noreferrer" target="_blank"
data-mce-href="https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca"
moz-do-not-send="true">https://www.wapt.fr/fr/doc/wapt-usage/role-separation/index.html#new-crt-with-ca</a><br
data-mce-bogus="1">
</p>
<table width="915">
<tbody>
<tr>
<td style="padding-right: 50px; vertical-align:
baseline;" data-mce-style="padding-right:
50px; vertical-align: baseline;">
<div><span style="font-size: 11pt;
font-family: 'ms';"
data-mce-style="font-size: 11pt;
font-family: 'ms';"><strong><span
style="color: #ff6600;"
data-mce-style="color: #ff6600;">Gaëtan
SEGAT</span></strong></span><br>
<span style="font-size: 11pt; font-family:
'ms';" data-mce-style="font-size: 11pt;
font-family: 'ms';"><strong><span
style="color: #ff6600;"
data-mce-style="color: #ff6600;">Administrateur
Systèmes & Réseaux</span></strong></span><br>
<span style="font-family: 'trebuchet ms' ,
sans-serif; color: #333399; font-size:
11pt;" data-mce-style="font-family:
'trebuchet ms' , sans-serif; color:
#333399; font-size: 11pt;">Tranquil IT</span><br>
<span style="font-family: 'trebuchet ms' ,
sans-serif; color: #333399; font-size:
11pt;" data-mce-style="font-family:
'trebuchet ms' , sans-serif; color:
#333399; font-size: 11pt;"> 12 avenue
Jules Verne (Bât. A)</span><br>
<span style="font-family: 'trebuchet ms' ,
sans-serif; color: #333399; font-size:
11pt;" data-mce-style="font-family:
'trebuchet ms' , sans-serif; color:
#333399; font-size: 11pt;"> 44230 Saint
Sébastien sur Loire (FRANCE)</span><br>
<span style="font-family: 'trebuchet ms' ,
sans-serif; color: #333399; font-size:
11pt;" data-mce-style="font-family:
'trebuchet ms' , sans-serif; color:
#333399; font-size: 11pt;"> tel: +33 (0)
240 975 755</span></div>
</td>
</tr>
<tr>
<td>
<hr>
<div><a
href="https://www.tranquil.it/wapt-2-0-securiser-systeme-information/"
rel="nofollow noopener noreferrer nofollow
noopener noreferrer" target="_blank"
data-mce-href="https://www.tranquil.it/wapt-2-0-securiser-systeme-information/"
moz-do-not-send="true"><img alt="Bannière
de mail - WAPT 2.0 : Sécurisez votre
système d'information"
src="https://www.tranquil.it/wp-content/uploads/Mail_WAPT_2_0_securisez_systeme_information.png"
moz-do-not-send="true"></a><br
data-mce-bogus="1">
</div>
</td>
</tr>
</tbody>
</table>
<div>Le 25/03/2021 à 10:17, Moha AHBAR a écrit :</div>
<div style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #006600;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #006600;">
<div>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">Bonjour,</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">J’ai la version
entreprise 1.8.</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">J’ai un certificat
pour signer les paquets, puis-je créer un second
certificat (et même plusieurs) permettant à
un/ou des collègues de <span class="posthilit">signer</span>
des paquets. Ainsi on sait qui a signé quoi.</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">Je sais que cela
est possible grâce à une PKI dans ma version
actuelle 1.8.</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;"><br>
</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">Mais est-ce que
cela est possible sans la PKI dans la version
1.8?</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;"><br>
</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">Dans la version 2
(qui arrive) aurons-nous cette possibilité de
façon plus simple. J’ai parcouru les quelques
explications mais ces derniers ne répondent pas
à mon interrogation.</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;"><br>
</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">Merci pour ttes
infos,</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;"><br>
</p>
<p class="MsoNormal" style="margin: 0px;"
data-mce-style="margin: 0px;">m.</p>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre">_______________________________________________
WAPT mailing list
<a href="mailto:WAPT@lists.tranquil.it" rel="nofollow noopener noreferrer nofollow noopener noreferrer" target="_blank" data-mce-href="mailto:WAPT@lists.tranquil.it" moz-do-not-send="true">WAPT@lists.tranquil.it</a>
<a href="http://lists.tranquil.it/listinfo/wapt" rel="nofollow noopener noreferrer nofollow noopener noreferrer" target="_blank" data-mce-href="http://lists.tranquil.it/listinfo/wapt" moz-do-not-send="true">http://lists.tranquil.it/listinfo/wapt</a>
</pre>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre">_______________________________________________
WAPT mailing list
<a href="mailto:WAPT@lists.tranquil.it" rel="nofollow noopener noreferrer nofollow noopener noreferrer" target="_blank" data-mce-href="mailto:WAPT@lists.tranquil.it" moz-do-not-send="true">WAPT@lists.tranquil.it</a>
<a href="http://lists.tranquil.it/listinfo/wapt" rel="nofollow noopener noreferrer nofollow noopener noreferrer" target="_blank" data-mce-href="http://lists.tranquil.it/listinfo/wapt" moz-do-not-send="true">http://lists.tranquil.it/listinfo/wapt</a>
</pre>
<br>
_______________________________________________<br>
WAPT mailing list<br>
<a href="mailto:WAPT@lists.tranquil.it"
target="_blank" rel="nofollow noopener noreferrer"
data-mce-href="mailto:WAPT@lists.tranquil.it"
moz-do-not-send="true">WAPT@lists.tranquil.it</a><br>
<a href="http://lists.tranquil.it/listinfo/wapt"
target="_blank" rel="nofollow noopener noreferrer"
data-mce-href="http://lists.tranquil.it/listinfo/wapt"
moz-do-not-send="true">http://lists.tranquil.it/listinfo/wapt</a><br
data-mce-bogus="1">
</blockquote>
</div>
</div>
</blockquote>
</div>
</div>
</blockquote>
</body>
</html>