Gestion des CRL dans le cadre d'un tunnel VPN IPsec

Un certificat peut être révoqué par son AC avant son expiration prévue. Cela arrive par exemple lorsqu’une clé privée est compromise ou qu’un administrateur quitte la société. L’acceptation d’un tel certificat permet alors à un utilisateur ou équipement illégitime de bénéficier d’une authentification sur le pare-feu SNS. La mise en place par l’IGC de CRL permet d’avertir les pare-feux SNS concernés de la révocation de certificats. Par défaut, l’absence de CRL n’est pas bloquante pour établir un tunnel VPN IPsec, elle est simplement signalée dans les journaux du pare-feu SNS.

R35 | SNS-SMC | Imposer la vérification des CRL
Il est recommandé d’imposer la vérification de CRL pour la mise en œuvre des tunnels VPN IPsec.

Le changement de ce comportement est à effectuer en modifiant le paramètre CRLrequired puis en relançant le service IPsec. Cela se réalise par les commandes NSRPC suivantes :

config ipsec update slot=01 CRLrequired=1
config ipsec activate

Ce paramètre est stocké dans le fichier /Firewall/ConfigFiles/VPN/01/. En mode console, le service IPsec peut être activé via les commandes NSRPC suivantes :

config slot activate global=0 slot=00 type=vpn
config slot activate global=0 slot=01 type=vpn

À l'utilisation de ces commandes, l'ensemble des tunnels VPN seront fermés, puis la nouvelle politique VPN (01) sera activée. Dans les deux cas, la valeur 01 utilisée en exemple représente le numéro de la politique IPsec employée.

Les CRL récupérées sont stockées localement dans le répertoire de leur AC (ou de leur AC déléguée) correspondante et renommées en CA.crl.pem.

INFORMATION
Lorsque le paramètre CRLrequired est activé, il est nécessaire de disposer de toutes les CRL de la chaîne de certification.

Import automatique de CRL

Bien qu’une CRL ait une durée de validité, il est important de vérifier fréquemment que de nouveaux certificats n’ont pas été révoqués. Cette fréquence de mise à jour de la CRL doit être adaptée à l’usage de l’authentification par certificat. Si les mises à jour sont trop espacées, le pare-feu SNS peut authentifier des certificats révoqués et créer un accès illégitime. Par exemple, une récupération toutes les 6 heures permet de diminuer fortement le délai pendant lequel un certificat révoqué peut être utilisé.

R36 | SNS | Adapter le rafraîchissement automatique des CRL
Il est recommandé d’adapter le temps de rafraîchissement en fonction de la réactivité recherchée. Si différents services nécessitent des délais différents, le plus court doit être utilisé.

Par défaut, lorsque l’URL d’une CRL est ajouté et activé, la récupération du fichier est réalisée toutes les 6 heures. Il est possible de forcer la mise à jour à l’aide de la commande NSRPC system checkcrl. Utilisez system checkcrl help pour plus de détails au sujet de la commande. Il est également possible de modifier la fréquence de récupération des CRL via l’interface web d’administration.

R37 | SNS-SMC | Configurer l'URL de récupération de la CRL et activer la récupération automatique
Il est recommandé de configurer l’URL de récupération automatique de la CRL de chaque AC et activer cette fonctionnalité dans le menu Configuration > Système > Configuration des pare-feux SNS, en cochant la case Activer la récupération régulière des listes de révocation de certificats (CRL). Sur le serveur SMC, cette configuration se réalise dans le menu Configuration > Certificats > nom de l'AC > Liste des points de distribution de CRL.

Les points de distribution de CRL associées à une AC peuvent être positionnés soit via l’interface web d’administration du pare-feu SNS dans le menu Configuration > Objets > Certificats et PKI > nom de l'AC > Profil de certificats, soit à l’aide de la commande NSRPC :

pki ca checkcrl add caname=<nom de l'AC> uri=<URL de la CRL>

L’URL du point de distribution peut être de type HTTP, HTTPS, LDAP, LDAPS et FTP.

INFORMATION
Pour que le pare-feu SNS puisse résoudre le FQDN de l’URL du point de distribution de la CRL, un objet de type Machine correspondant au FQDN doit être défini dans sa base d’objets.

Import manuel de CRL

Dans certains cas, il peut être difficile, voire impossible, d’importer automatiquement une CRL. Le cas se présente si un tunnel VPN est nécessaire afin de l’obtenir, et que la précédente n’est plus valide ou n’a jamais été importée. L’import d’une CRL peut alors être réalisé manuellement. Cette opération implique l’intervention d’un administrateur et la manipulation de fichiers. Elle nécessite donc des procédures organisationnelles strictes et devrait rester une opération exceptionnelle.

R37 ⁃ | SNS-SMC | Importer manuellement une CRL
Si un import automatique est impossible, il est recommandé d’importer manuellement la CRL.

Sur un pare-feu SNS, l’import manuel d’une CRL s’effectue via l’interface web d’administration, dans le menu Configuration > Objets > Certificats et PKI > Ajouter > Importer un fichier. Le fichier de CRL doit être importé au format PEM ou DER et son nom ne doit pas comporter d’extension. À l’import, le fichier de CRL est copié dans le répertoire de l’AC à laquelle il est associé, puis converti au format PEM et renommé en CA.crl.pem.

Sur un serveur SMC, l’import manuel d’une CRL s’effectue via l’interface web d’administration, dans le menu Configuration > Certificats > nom de l'AC > SMC en tant que point de distribution de CRL.