Désactiver la protection des certificats par TPM (Trusted Platform Module) lors de l'installation sur le firewall

Dès lors que la puce TPM est présente et activée sur un modèle de firewall SNS, lorsque vous installez une identité sur un firewall depuis le serveur SMC, la clé privée correspondante est protégée par la puce TPM.

Pour savoir si une clé privée est protégée par puce TPM, consultez les panneaux suivants dans l'interface web d'administration du serveur SMC :

• Dans le menu Configuration > Certificats, affichez la colonne Stockage (masquée par défaut). La mention Protégé est indiquée dans la colonne lorsqu'une clé privée est protégée par puce TPM.
  
• Dans l'onglet VPN IPSEC des propriétés d'un firewall, la mention Protégé est indiquée dans les caractéristiques du certificat X509.
  

Lorsque vous installez un nouveau certificat sur un firewall, la mention est également indiquée dans la fenêtre de résultat de l'installation du certificat.

Pour désactiver la protection par TPM lorsque vous installez une identité sur un firewall SNS depuis le serveur SMC, vous devez modifier la variable d'environnement FWADMIN_FW_TPM_DISABLED :

1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
2. Dans le fichier /data/config/fwadmin-env.conf.local, modifiez la valeur de la variable d'environnement : FWADMIN_FW_TPM_DISABLED=true
3. Redémarrez le serveur avec la commande nrestart fwadmin-server

• Pour activer la protection par TPM d'une clé privée déjà installée sur un firewall, exécutez le script CLI SNS suivant depuis le menu Scripts/Scripts CLI SNS :

PKI CERTIFICATE PROTECT caname=myca name=mycert tpm=ondisk