Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Générer le certificat de l’Administrateur pour signer les paquets

Introduction

Hypothèse de cette documentation

  • le nom de la clé privée est wapt-private.pem ;

  • certificat public signé avec le fichier de la clé privée wapt-private.crt ;

La clé privée wapt-private.pem

Attention

Le fichier wapt-private.pem que nous allons générer est d’une importance fondamentale. Il doit être conservé en lieu sûr et correctement protégé.

Le fichier wapt-private.pem est la clé privée, elle est générée puis copiée par défaut dans le dossier C:private du poste de l”Administrateur.

Pour plus de sûreté, la clé privée peut être transférée sur un support externe sécurisé.

Elle servira, en pointant sur le certificat, à signer les paquets WAPT avant de les envoyer sur le dépôt.

certificat public signé avec la clé privée : wapt-private.crt

Le fichier wapt-private.crt est le certificat public qui est utilisé avec la clé privée. Il est créé par défaut dans le dossier C:\private, copié dans le dossier C:\Program Files (x86)\wapt\ssl de l’Administrateur et déployé sur les postes de travail gérés par l’Administrateur via un paquet WAPT ou une GPO.

Ce certificat sert à valider la signature des paquets avant leur installation.

Générer le certificat

Dans la console WAPT aller dans Outils ‣ Créer un certificat ;

Creating a self-signed certificate

Générer un certificat auto-signé

Générer le certificat - WAPT Community

  • renseigner les champs suivants :

Creating a self-signed certificate

Générer un certificat auto-signé

  • cliquer sur OK pour passer à l’étape suivante ;

Les informations à renseigner sont :

  • Répertoire de destination où seront sauvegardés la clé privée et le certificat public : obligatoire ;

  • Nom de la clé donné aux fichiers .pem et .crt ;

  • Mot de passe de la clé pour vérouiller la clé : obligatoire ;

  • Mot de passe de la clé pour vérouiller la clé : obligatoire ;

  • Common Name (CN) pour identifier formellement le signataire : obligatoire ;

  • Certificate Name donné au certificat .crt : obligatoire ;

  • Informations optionnelles : détails supplémentaires stockées dans la clé privée. Ces informations permettront aux destinataires d’un paquet WAPT de connaître son origine ;

Pour une première installation, vous pouvez suivre l’exemple de la capture d’écran.

Indication

Le mot de passe de la clé privée doit être choisi en conformité avec les préconisations en vigueur dans votre Organisation (par exemple les recommandations ANSSI).

Danger

  • le répertoire de destination de la clé privée ne doit pas être le dossier d’installation de WAPT (C:\Program Files (x86)\wapt) ;

  • si votre clé est stockée dans C:\Program Files (x86)\wapt, votre clé privée d”Administrateur sera déployée sur vos clients, absolument à ne pas faire !

Confirmation of the copy of the certificate in the ssl folder

Confirmation de copie dans le répertoire ssl

  • cliquer sur Oui pour copier le certificat nouvellement généré dans le dossier C:\Program Files (x86)\wapt\ssl. Ce certificat sera récupéré lors de la compilation de l’agent WAPT et déployé sur les ordinateurs clients ;

Lorsque tout s’est bien déroulé le message suivant apparaît :

Certificate generated successfully

Réussite de la génération du certificat

  • cliquer sur OK pour passer à l’étape suivante ;

Vous pouvez maintenant passer à l’étape suivante et configurer votre console WAPT !!

Générer le certificat - WAPT Enterprise

En version WAPT Enterprise, créer une clé « Master » capable de signer des paquets logiciels et également de signer d’autres certificats (CA).

Indication

Vous pourrez par la suite suivre la documentation pour Différencier les niveaux de rôle dans WAPT.

Creating a self-signed certificate

Générer un certificat auto-signé

Les informations à renseigner sont :

  • Répertoire de destination où seront sauvegardés la clé privée et le certificat public : obligatoire ;

  • Nom de la clé donné aux fichiers .pem et .crt : obligatoire ;

  • Mot de passe de la clé pour vérouiller la clé : obligatoire ;

  • Common Name (CN) pour identifier formellement le signataire : obligatoire ;

  • Certificate Name donné au certificat .crt : obligatoire ;

  • Code Signing si le certificat sera utilisé pour signer des paquets logiciels : obligatoire ;

  • Certificat CA si la clé associée au certificat pourra signer d’autres certificats ;

  • Informations optionnelles : détails supplémentaires stockées dans la clé privée. Ces informations permettront aux destinataires d’un paquet WAPT de connaître son origine ;

Indication

Le mot de passe de la clé privée doit être choisi en conformité avec les préconisations en vigueur dans votre Organisation (par exemple les recommandations ANSSI).

Note

Si votre Organisation est déjà équipée d’une Autorité de Certification (CA), il faudra renseigner le certificat ainsi que la clé dans les champs Certificat de la CA et Clé de la CA.

Cette étape sera utile lorsque vous souhaiterez générer une nouvelle paire de clé de type Code Signing ou de type Non Code Signing.

Danger

  • le répertoire de destination de la clé privée ne doit pas être le dossier d’installation de WAPT (C:\Program Files (x86)\wapt) ;

  • si votre clé est stockée dans C:\Program Files (x86)\wapt, vous risqueriez de déployer votre clé privée sur le réseau lors de la création de l’agent WAPT, absolument à ne pas faire!

Confirmation of the copy of the certificate in the ssl folder

Confirmation de copie dans le répertoire ssl

  • cliquer sur Oui pour copier le certificat nouvellement généré dans le dossier C:\Program Files (x86)\wapt\ssl. Ce certificat sera récupéré lors de la compilation de l’agent WAPT et déployé sur les ordinateurs clients ;

Lorsque tout s’est bien déroulé le message suivant apparaît :

Certificate generated successfully

Réussite de la génération du certificat

  • cliquer sur OK pour passer à l’étape suivante ;

Vous pouvez maintenant passer à l’étape suivante et configurer votre console WAPT.