Signer une politique de sécurité

Avant d'intégrer une politique de sécurité à un package d'installation, vous devez signer la politique afin de garantir son authenticité et son intégrité. Vous êtes alors le signataire de la politique.

Stormshield fournit un utilitaire de signature pour signer vos politiques.

La signature se base sur la norme JWT. L'algorithme utilisé par défaut est le PS256, mais vous pouvez le paramétrer.

L'utilitaire de signature permet de signer plusieurs politiques à la fois si nécessaire.

En cas de changement de signataire de la politique, reportez-vous à la section Modifier le signataire d'une politique de sécurité.

Pour signer une politique de sécurité, vous avez besoin :

  • D'un fichier au format .p12 contenant une clé privée de signature. Nous vous recommandons de protéger le fichier par un mot de passe robuste.

  • De télécharger l'utilitaire de signature SDSPolicySignCLI.exe depuis le menu Téléchargements de SDMC.

  • De télécharger la politique au format .JSON si vous l'avez configurée dans SDMC. Pour télécharger la politique, reportez-vous à la section Télécharger une politique de sécurité.

  1. Exécutez l'outil SDSPolicySignCLI.exe en ligne de commande. Pour afficher la liste des paramètres, tapez --help :

    -k ou --key Paramètre obligatoire. Indique le chemin, relatif au répertoire courant ou absolu, du fichier .p12 permettant la signature.
    -p ou --password Mot de passe protégeant le fichier .p12. Si le fichier est protégé par mot de passe et que vous n'entrez pas le paramètre manuellement, le mot de passe est automatiquement demandé (méthode recommandée).
    -f ou --file Paramètre obligatoire. Indique le chemin, relatif au répertoire courant ou absolu, du fichier .json de la politique à signer. Vous pouvez indiquer plusieurs fichiers en les séparant par des virgules ou par des espaces.
    -a ou --algo Indique l'algorithme à utiliser pour signer la politique. Les valeurs possibles sont PS256 et RS256. Par défaut, si le paramètre n'est pas renseigné, l'algorithme PS256 est utilisé. Choisissez l'algorithme RS256 pour signer une politique pour des agents dont la version est inférieure à 11.1.
    --help Affiche l'aide.
    --version Affiche la version de l'utilitaire.

  2. Lors de la signature, un sous-dossier portant le nom de la politique est créé au même emplacement que le fichier de la politique. Il contient le fichier signé policy.jwt. Récupérez ce fichier pour l'intégrer au package d'installation des agents, comme indiqué dans la section suivante.

EXEMPLE
C:\Myfolder\SDSPolicySignCLI.exe --key C:\Keys\MyPrivateKey.p12 --file C:\Policies\Policy1.json C:\Policies\Policy2.json --algo RS256
Remplacez les noms des dossiers et fichiers par vos propres noms. Dans cet exemple, les deux politiques sont signées respectivement dans les fichiers C:\Policies\Policy1\policy.jwt et C:\Policies\Policy2\policy.jwt en utilisant l'algorithme RS256.