Importer ou déclarer un certificat pour un firewall

Un certificat au format DER ou PEM est requis pour chaque firewall faisant partie d'une topologie VPN avec authentification .X509.

Une identité au format PKCS#12 peut être installée sur un firewall depuis le serveur SMC, qui récupère le certificat correspondant.

Vous pouvez importer le certificat sur le serveur SMC à partir de l'interface web du serveur ou de l'interface de ligne de commande. Vous pouvez en importer plusieurs pour un même firewall.

Vous pouvez également déclarer sur SMC un certificat utilisé par un firewall SNS sans l'importer sur le serveur (protocoles SCEP ou EST).

La fenêtre d'import de certificat pour un firewall est accessible depuis plusieurs panneaux de l'interface web d'administration.

Fenêtre d'import de certificat

  1. Dans le menu Supervision > Firewalls, double-cliquez sur un firewall connecté.
  2. Dans l'onglet Système > VPN IPsec, sélectionnez l'option Par fichier.
  3. Cliquez sur Importer un nouveau certificat. Le lien vous amène dans le menu Configuration > Certificats.
  4. Survolez le nom du firewall dans la colonne Firewall et cliquez sur l'icône Icône Importer un certificat . Pour plus d'informations sur le menu Certificats, reportez-vous à la section Gérer les certificats et les autorités de certification.

-ou-

  1. Dans le menu Supervision > Firewalls, survolez le nom d'un firewall connecté et cliquez sur l'icône Icône Importer un certificat.

-ou-

  1. Dans le menu Configuration > Certificats, cliquez sur le bouton Importer un certificat en haut de la grille . Pour plus d'informations sur le menu Certificats, reportez-vous à la section Gérer les certificats et les autorités de certification.

-ou-

  1. Pendant la configuration d'une topologie VPN, lors de l'étape du choix des correspondants, cliquez sur l'icône Icône Importer un certificat sur la ligne d'un firewall. Pour plus d'informations, reportez-vous à la section Créer des topologies VPN par politique.

L'option Utiliser ce certificat par défaut pour ce firewall permet de choisir le certificat utilisé pour les négociations VPN. Il ne peut y avoir qu'un seul certificat par défaut pour un firewall. Pour modifier le certificat utilisé par défaut par la suite, reportez-vous à la section Importer ou déclarer un certificat pour un firewall.

  1. Pour importer un certificat depuis l'interface de ligne de commande, connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Tapez la commande
    smc-install-certificate

ASTUCE
Affichez l'aide avec l'option --help :

Parmi ces options, trois sont obligatoires :

  • --certificate : chemin du certificat (.p12 ou .pfx) à installer,
  • --firewall : nom du firewall pour lequel le certificat doit être installé,
  • --password : mot de passe qui protège le certificat dans le cas d'un .p12.

L'opération est enregistrée dans le fichier de log /var/log/misc/install-certificate.log.

Importez le certificat pour le nœud actif du cluster.

Le serveur SMC effectue ensuite une synchronisation des deux nœuds du cluster.

  • Situation : Vous avez sélectionné le certificat et rentré le mot de passe et le bouton Importer reste grisé.
  • Cause : Lors du déroulement d'une exécution de script ou d'un déploiement de configuration, vous ne pouvez pas importer un certificat pour un firewall.
  • Solution : Attendez la fin de l'exécution ou du déploiement en cours.
  • Situation : Lorsque vous importez un certificat sur un firewall, le serveur SMC retourne l'erreur "Pas assez de privilèges".
  • Cause : Vous ne pouvez pas importer un certificat sur un firewall sur lequel une session est ouverte en direct ou via SMC.
  • Solution : Déconnectez-vous du firewall et retentez l'import du certificat.
  • La taille du fichier dépasse le maximum autorisé qui est de 1 Mo.
  • Le format du fichier est autre que .p12 ou .pem. Le serveur SMC ne supporte que les fichiers .p12 ou .pem.
  • Vous avez entré un mauvais mot de passe.

Vous pouvez également déclarer dans SMC un certificat utilisé par un firewall SNS en indiquant son sujet et son émetteur. Vous n'avez alors pas besoin d'importer le certificat sur le serveur.

Ceci peut être utile par exemple lorsque le firewall génère ses propres clés et obtient un certificat automatiquement depuis l'autorité de certification via les protocoles SCEP ou EST.

Il ne peut y avoir qu'un seul certificat obtenu par SCEP ou EST par firewall.

  1. Dans le menu Supervision > Firewalls, double-cliquez sur un firewall connecté.
  2. Dans l'onglet Système > VPN IPsec, sélectionnez Par noms de sujet et d'émetteur et entrez les informations correspondantes.

Pour permettre le renouvellement des certificats expirés obtenus par SCEP ou EST, depuis le serveur SMC, vous devez indiquer l'adresse d'un serveur SCEP ou EST dans le panneau des propriétés d'une autorité de certification. Pour plus d'informations, reportez-vous à la section Gérer les certificats et les autorités de certification.

Si vous avez importé plusieurs certificats X509 pour un firewall, pour savoir lequel est utilisé par défaut dans les topologies VPN :

  1. Dans le menu Supervision > Firewalls, double-cliquez sur la ligne du firewall concerné,
  2. Ouvrez l'onglet Système > VPN IPsec. Le certificat utilisé par défaut est le certificat sélectionné dans l'encart Certificat pour l'authentification.

Pour modifier le certificat utilisé par défaut, sélectionnez un autre certificat dans la liste déroulante ou bien importez un nouveau certificat.

Vous ne pourrez pas modifier le certificat utilisé par défaut si il est utilisé dans une topologie VPN.