Service de confiance : Différence entre versions

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
(Démarrage des services)
 
(31 révisions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
 
{| style="color: black; background-color: #ffffcc; width: 100%;"
 
{| style="color: black; background-color: #ffffcc; width: 100%;"
| style="width: 30%; background-color: white; text-align: center;"|
+
| style="width: 30%; background-color: #EBECEC; text-align: center;"|
[[Fichier: DocapostCyberdefense.logo15.textlong.green.png|200px|center]]  
+
[[fichier:DocapostCyberdefense.logo15.textlong.regular.png|150px]]
| style="width: 70%; background-color: white;"|
+
| style="width: 70%; background-color: #EBECEC; text-align: center;"|
<div style="text-align: right">'''Service de Confiance'''<br>
+
==='''Utilisation des services de confiance'''===
Utilisation des Services de Confiance : Cachet Electronique - Horodatage<br>
 
'''DRAFT'''
 
</div>
 
 
|}
 
|}
 
+
<br>
==== <div style="background-color: #81BEF7">'''Gestion du document'''</div> ====
+
<br>
 
+
* [[Utiliser le Cachet Electronique de La Poste]]
{| style="color: black; background-color: #ffffcc; width: 100%;"
+
* [[Utiliser le service d'Horodatage qualifié de La Poste]]
| style="width: 30%; background-color: white; text-align: left;"|
 
Date de la première version : 
 
| style="width: 70%; background-color: white;"|
 
26/06/2018
 
|-
 
| style="width: 30%; background-color: white; text-align: left;"|
 
Date de la dernière version : 
 
| style="width: 70%; background-color: white;"|
 
26/06/2018
 
|-
 
| style="width: 30%; background-color: white; text-align: left;"|
 
Version : 
 
| style="width: 70%; background-color: white;"|
 
1.0
 
|-
 
| style="width: 30%; background-color: white; text-align: left;"|
 
Source : 
 
| style="width: 70%; background-color: white;"|
 
'''COSC  :  Centre Opérationnel de Sécurité et de Cyberdéfense'''<br>
 
|}
 
 
 
==== <div style="background-color: #81BEF7">'''Introduction'''</div> ====
 
 
 
==== <div style="background-color: #81BEF7">'''Machine virtuelle de Lab'''</div> ====
 
 
 
La machine virtuelle de lab à pour objectif de s’entraîner et de tester les fonctions de l'application Trusty de l'éditeur C-S comme :
 
 
 
* Le centre d'administration
 
* Les services d'horodatage
 
* Les services de Cachet Electronique
 
 
 
==== <div style="background-color: #81BEF7">'''Informations & Pré-requis'''</div> ====
 
 
 
==== <div style="background-color: #81BEF7">'''Démarrage des services'''</div> ====
 
 
 
 
 
 
 
Login : '''Certinomis'''<br>
 
Password : '''password'''<br>
 
 
 
[[Fichier: Trusty LoginVM.PNG|790px]]
 
 
 
Une fois authentifier sur la machine virtuelle, un certain nombre de service doit être démarré afin d'utiliser la solution. La configuration de la carte réseau de Virtualbox doit être Naté :
 
 
 
[[Fichier: Trusty NatVM.PNG|500px]]
 
 
 
Les vérifications entreprendre sont les suivantes :
 
 
 
===== '''Réseau''' =====
 
 
 
$ su root
 
Mot de passe : '''Password'''
 
# ifconfig enp0s3
 
 
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
 
        ether 08:00:27:f6:30:cd  txqueuelen 1000  (Ethernet)
 
        RX packets 0  bytes 0 (0.0 B)
 
        RX errors 0  dropped 0  overruns 0  frame 0
 
        TX packets 0  bytes 0 (0.0 B)
 
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
 
# dhclient
 
# ifconfig enp0s3
 
 
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
 
        inet '''10.0.2.15'''  netmask 255.255.255.0  broadcast 10.0.2.255
 
        ether 08:00:27:f6:30:cd  txqueuelen 1000  (Ethernet)
 
        RX packets 892  bytes 958369 (935.9 KiB)
 
        RX errors 0  dropped 0  overruns 0  frame 0
 
        TX packets 401  bytes 54208 (52.9 KiB)
 
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
# ping www.google.fr
 
PING www.google.fr ('''216.58.215.35''') 56(84) bytes of data.
 
64 bytes from '''par21s17-in-f3.1e100.net''' (216.58.215.35): icmp_seq=1 ttl=57 time=3.02 ms
 
 
 
-----
 
 
 
===== '''Service NTP''' =====
 
# service ntpd start
 
Redirecting to /bin/systemctl start ntpd.service
 
 
# ntpq -c lpeers
 
      remote          refid      st t when poll reach  delay  offset  jitter
 
==============================================================================
 
*ntp1.inrim.it  .CTD.            1 u  18  64    1  41.750    1.041  2.675
 
+ntp2.inrim.it  .CTD.            1 u  17  64    1  41.485    0.834  2.923
 
  clock.fmt.he.ne .CDMA.          1 u  16  64    1  133.906    0.567  0.184
 
+usno.labs.hp.co .GPS.            1 u  15  64    1  144.841    2.031  0.229
 
  ntps1-0.eecsit. .PPS.            1 u  25  64    1  24.481    0.660  0.000
 
  ntp1.rrze.uni-e .DCFp.          1 u  24  64    1  15.178    0.404  0.000
 
-----
 
 
 
===== '''Service Trusty Box''' =====
 
 
 
Le service d'administration démarre au boot de la machine virtuelle.
 
Afin de s'assurer que le service est opérationnel, les commandes sont les suivantes :
 
 
 
# netstat -netupal | grep 8443 | grep LISTEN
 
tcp6  0  0 ''':::8443'''  :::*  '''LISTEN'''  2005  25955  1059/'''java'''
 
 
 
En cas de besoin l'interface d'administration peut être redémarré avec la commande suivante :
 
 
 
# service tb-server-tomcat restart
 
 
 
Les autres commandes sont les suivantes :
 
 
 
*service tb-server-tomcat stop
 
*service tb-server-tomcat start
 
 
 
Vérification de la résolution du nom DNS de l'interface d'administration :
 
 
 
# ping '''admin.certinomis.labs'''
 
PING admin ('''127.0.0.1''') 56(84) bytes of data.
 
64 bytes from localhost (127.0.0.1): '''icmp_seq=1 ttl=64 time=0.081 ms'''
 
 
 
 
 
* Se connecter à l'interface d'administration :
 
 
 
[[Fichier: Preferences.png|48px]] '''Administration Trusty Box'''
 
 
 
[[Fichier: Capture du 2018-06-26 12-00-55.png|790px]]
 
 
 
Pour vous authentifier, utiliser le certificat :
 
*'''CN=Administrateur Service de Confiance,OU=0004 7658 678,O=Docapost,L=Ivry sur Seine,C=FR'''
 
 
 
[[Fichier: Capture du 2018-06-26 12-15-05.png|790px]]
 
 
 
===== '''Service Trusty Time''' =====
 
 
 
Le service d'horodatage ne démarre pas au boot de la machine virtuelle. Pour que le service soit opérationnel, les commandes sont les suivantes :
 
 
 
# service tt-server-tomcat start
 
 
 
* Vérification du port TCP de production :
 
# netstat -netupal | grep 8446 | grep LISTEN
 
tcp6  0  0 ''':::8446'''  :::*  '''LISTEN'''  2005  25955  1059/'''java'''
 
 
 
* Vérification du port TCP d'administration :
 
# netstat -netupal | grep 8346 | grep LISTEN
 
tcp6  0  0 ''':::8346'''  :::*  '''LISTEN'''  2005  25955  1059/'''java'''
 
 
 
* Vérification e la résolution DNS de la TSU :
 
# ping '''tsu01.certinomis.labs'''
 
PING tsu01 (127.0.0.1) 56(84) bytes of data.
 
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.041 ms
 
 
 
Les autres commandes :
 
 
 
# service tt-server-tomcat stop
 
# service tt-server-tomcat restart
 
 
 
* Démarrage de l'UH dans l'interface d'administration :
 
 
 
1. Sélectionner : Certinomis TSA Horodatage CERTINOMIS : Service d'Horodatage<br>
 
2. Sélectionner en haut à droite '''Acceder au service'''<br>
 
 
 
L'interface d'administration indique que la TSU n'est pas opérationnel du au fait que les sources de temps de comparaison ne sont pas opérationnelles :
 
 
 
[[Fichier: Capture du 2018-06-26 12-30-12r.png|790px]]
 
 
 
Deux solutions :<br>
 
1. Attendre une minute et le service sera opérationnel<br>
 
2. Sélectionner l'UH : CERTINOMIS_UNITE_HORODATAGE_925340_LABS, puis cliquez sur '''Arrêter''' et '''Démarrer'''<br>
 
 
 
[[Fichier: Capture du 2018-06-26 12-45-32s.png|790px]]
 
 
 
===== '''Service Trusty Sign''' =====
 
 
 
Le service Cachet serveur ne démarre pas au boot de la machine virtuelle. Pour que le service soit opérationnel, les commandes sont les suivantes :
 
 
 
# service ts-server-tomcat start
 
 
 
* Vérification du port TCP de production :
 
# netstat -netupal | grep 8445 | grep LISTEN
 
tcp6  0  0 ''':::8445'''  :::*  '''LISTEN'''  2005  25955  1059/'''java'''
 
 
 
* Vérification du port TCP d'administration :
 
# netstat -netupal | grep 8345 | grep LISTEN
 
tcp6  0  0 ''':::8345'''  :::*  '''LISTEN'''  2005  25955  1059/'''java'''
 
 
 
* Vérification de la résolution DNS de l'API de signature :
 
# ping '''cachet.certinomis.labs'''
 
PING tsu01 (127.0.0.1) 56(84) bytes of data.
 
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.041 ms
 
 
 
* Les autres commandes :
 
 
 
# service ts-server-tomcat stop
 
# service ts-server-tomcat restart
 
 
 
* Vérification de l'état de l'API dans Trusty Box :
 
 
 
1.Sélectionner dans les Service de confiance :
 
Certinomis CCS  Signature cachet serveur CERTINOMIS : Signature Cachet Serveur Labs
 
2. Vérifier l’état du service :
 
 
 
[[Fichier: Capture du 2018-06-26 13-00-35t.png|790px]]
 
 
 
'''Attention : L'alerte sur l'accès à l'horodatage n'est pas à prendre en compte car la configuration n'est pas en 1 pour 1, mais un accès cluster via répartiteur de charge.'''
 
 
 
==== <div style="background-color: #81BEF7">'''Demander une contremarque de temps'''</div> ====
 
 
 
Afin de tester le système d'horodatage, il faut utiliser l'outils Trusty Time Client.
 

Version actuelle datée du 12 septembre 2018 à 12:31

DocapostCyberdefense.logo15.textlong.regular.png

Utilisation des services de confiance



Récupérée de « https://csirt.docapost.fr/index.php?title=Service_de_confiance&oldid=2298 »