Certificats et PKI

Les certificats (du certificat final jusqu'à la CA de confiance) utilisés pour établir les tunnels IPsec en mode DR doivent respecter les spécifications suivantes :

  • Signature ECDSA ou ECSDSA sur courbe SECP ou Brainpool,
  • Algorithme de hachage SHA256.

Vérifier ou sélectionner les algorithmes pour la signature des certificats locaux

Si la CA destinée à signer les certificats IPsec locaux existe déjà sur le firewall

Dans le module Configuration > Objets > Certificats et PKI :

  1. Dans la liste des CA et certificats, sélectionnez la CA utilisée pour signer les certificats IPsec locaux.
    Les détails de la CA s'affichent dans la partie droite.
  2. Dans l'onglet Détails > cadre Empreintes, vérifiez que l'algorithme de signature est ecdsa-with-SHA256. Si ce n'est pas le cas, créez une CA pour laquelle le Type de clé est positionné sur SECP ou BRAINPOOL et avec une Taille de clé à 256 bits.
  3. Dans l'onglet Profils de Certificats, vérifiez que les points de distribution de CRL (URI) de la CA sont bien précisés. Si ce n'est pas le cas, ajoutez des CRLDP.
  4. NOTE
    Les certificats signés par cette CA avant l'ajout des CRLDP devront être à nouveau générés afin de prendre en compte cette modification.

  5. Dans l'onglet Profils de Certificats, vérifiez que dans les cadres Autorité de certification, Certificats Utilisateurs et Certificats Serveurs :
    • Le Type de clé est positionné sur SECP ou BRAINPOOL,
    • La Taille de clé est positionnée sur 256 bits et exclusivement sur 256 bits,
    • La Somme de contrôle est positionnée sur sha256.

    Si l'un de ces paramètres diffère des valeurs imposées, modifiez le pour choisir la valeur adéquate.

  6. Cliquez sur Appliquer pour prendre en compte les éventuelles modifications que vous avez effectuées.

Si vous devez créer une nouvelle CA pour signer les certificats IPsec locaux

Créer la CA

Vous pouvez créer une CA destinée à signer les certificats IPsec locaux en suivant les étapes décrites ci-dessous.

Dans le module Configuration > Objets > Certificats et PKI :

  1. Cliquez sur Ajouter
  2. Sélectionnez Autorité racine.
    Un assistant de création s'affiche.
  3. Indiquez un Nom.
    L'Identifiant se remplit automatiquement avec le nom de la CA. Vous pouvez le modifier.
  4. Renseignez les Attributs de l'autorité :
    • Organisation (O),
    • Unité d'organisation (OU),
    • Ville (L),
    • État (ST),
    • Pays (C).

EXEMPLE
Organisation (O) : Stormshield
Unité d'organisation (OU) : Documentation
Ville (L) : Lille
État (ST) : Nord
Pays (C) : France

  1. Cliquez sur Suivant.
  2. Renseignez puis confirmez le Mot de passe protégeant la CA.
  3. Vous pouvez indiquer l'adresse E-mail de contact pour cette CA.
  4. La durée de Validité proposée par défaut pour la CA est de 3650 jours (valeur conseillée).
    Vous pouvez la modifier.
  5. Type de clé : sélectionnez impérativement SECP ou BRAINPOOL.
  6. Taille de clé (bits) : sélectionnez impérativement 256.
  7. Cliquez sur Suivant.
  8. Points de distribution des CRL : ajoutez les URI des points de distribution de CRL auxquels les équipements IPsec de vos correspondants pourront s'adresser afin de vérifier la validité des certificats émis par votre CA.
  9. Cliquez sur Suivant.
    Un résumé des informations concernant la CA est affiché.
  10. Validez en cliquant sur Terminer.

Déposer la CRL sur les points de distribution

  1. Sélectionnez la CA précédemment créée.
  2. Cliquez sur Télécharger.
  3. Sélectionnez CRL puis le format d'export (PEM ou DER).
    Un message vous propose le lien de téléchargement.
  4. Téléchargez la CRL en cliquant sur ce lien puis déposez cette CRL sur chacun des CRLDP précisés lors de la création de la CA.

Exporter le certificat de la CA signant les certificats locaux

Dans le module Configuration > Objets > Certificats et PKI :

  1. Sélectionnez la CA signant les certificats locaux.
  2. Cliquez sur Télécharger et sélectionnez Certificat.
  3. Choisissez le format d'export (PEM ou DER).

Vous pouvez ensuite fournir ce certificat à vos correspondants afin que ceux-ci l'importent dans leurs équipements.

Importer le certificat de la CA signant les certificats d'un correspondant

Dans le module Configuration > Objets > Certificats et PKI :

  1. Cliquez sur Ajouter et sélectionnez Importer un fichier.
  2. Sélectionnez le certificat de la CA distante au format DER ou PEM.
  3. Cliquez sur Importer.
    Le certificat de la CA du correspondant apparaît désormais dans la liste des CA et certificats.

Activer la vérification de révocation des certificats des correspondants

L'autorité de certification (CA) dont sont issus les certificats utilisés pour l'authentification des correspondants IPsec doit impérativement mettre en œuvre un mécanisme de révocation (CRL et points de distribution de la CRL ou serveurs OCSP) et la vérification des certificats issus de cette CA doit être activée. Lorsque ce paramètre est activé, il est nécessaire de disposer de toutes les CRL de la chaîne de certification.

Dans le module Configuration > Système > Console CLI :

  1. Tapez la suite de commandes :
    CONFIG IPSEC UPDATE slot=x CRLrequired=1
    CONFIG IPSEC CHECK index=1
    CONFIG IPSEC ACTIVATE
    Où x représente le numéro de la politique IPsec à modifier.
  2. Cliquez sur Exécuter.

Lorsque la vérification de révocation des certificats des correspondants n'est pas activée, la politique IPsec courante est désactivée et le message d'erreur "Désactiver la vérification des CRL n'est pas compatible avec le mode DR" est affiché dans le champ Vérification de la politique situé sous la grille de la politique IPsec.

Activer la récupération automatique des CRL

Dans le menu Configuration > onglet Configuration générale : cochez la case Activer la récupération régulière des listes de révocation de certificats (CRL).

En effet, si la CRL de la CA d'un correspondant n'est pas récupérée, les tunnels avec ce correspondant ne pourront pas s'établir.