Désactiver la protection des certificats par TPM (Trusted Platform Module) lors de l'installation sur le firewall
Les firewalls SNS proposent la protection des certificats par puce TPM.
Lorsque vous installez une identité (format .p12) sur un firewall SNS depuis le serveur SMC, la protection de la clé privée par puce TPM est activée par défaut. La clé privéeest protégée par un mot de passe stocké sur la puce TPM.
Dans SMC, les clés protégées par TPM ne sont utilisables que dans des topologies VPN IPsec avec des profils de chiffrement de type IKEv2.
Pour créer des topologies VPN avec des profils de type IKEv1, vous devez désactiver cette protection avec la variable d'environnement FWADMIN_FW_TPM_DISABLED
.

Dès lors que la puce TPM est présente et activée sur un modèle de firewall SNS, lorsque vous installez une identité sur un firewall depuis le serveur SMC, la clé privée correspondante est protégée par la puce TPM.
Pour savoir si une clé privée est protégée par puce TPM, consultez les panneaux suivants dans l'interface web d'administration du serveur SMC :
- Dans le menu Configuration > Certificats, affichez la colonne Stockage (masquée par défaut). La mention Protégé est indiquée dans la colonne lorsqu'une clé privée est protégée par puce TPM.
- Dans l'onglet VPN IPSEC des propriétés d'un firewall, la mention Protégé est indiquée dans les caractéristiques du certificat X509.
Lorsque vous installez un nouveau certificat sur un firewall, la mention est également indiquée dans la fenêtre de résultat de l'installation du certificat.

Pour désactiver la protection par TPM lorsque vous installez une identité sur un firewall SNS depuis le serveur SMC, vous devez modifier la variable d'environnement FWADMIN_FW_TPM_DISABLED
:
- Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
- Dans le fichier /data/config/fwadmin-env.conf.local, modifiez la valeur de la variable d'environnement :
FWADMIN_FW_TPM_DISABLED=true
- Redémarrez le serveur avec la commande
nrestart fwadmin-server

- Pour activer la protection par TPM d'une clé privée déjà installée sur un firewall, exécutez le script CLI SNS suivant depuis le menu Scripts/Scripts CLI SNS :
PKI CERTIFICATE PROTECT caname=myca name=mycert tpm=ondisk