Mettre la PKI en conformité avec le mode DR
Rappel des recommandations IPsec DR pour la PKI
Les certificats, depuis le certificat du correspondant jusqu'au Trust Anchor, doivent respecter les spécifications suivantes :
- Taille des clés utilisées dans les certificats fixée à 256 bits,
- Signature ECDSA ou ECSDSA sur courbe ECP 256 (SECP) ou BP 256 (BRAINPOOL),
- SHA256 comme algorithme de hachage.
IMPORTANT
Ces contraintes s'appliquent à l'ensemble de la chaîne de confiance, c'est à dire en partant depuis le certificat du correspondant et en remontant jusqu'au premier Trust Anchor (première CA ou sous-CA) respectant ces spécifications.
Cas d'une PKI externe
Si la PKI respecte les recommandations IPsec DR (critères décrits ci-dessus)
Depuis l'autorité de certification destinée à gérer les identités des correspondants compatibles avec le mode DR :
- Générez les identités de tous les correspondants IPsec à rendre compatibles avec le mode DR. À noter que les firewalls SNS supportent le protocole d’enrôlement EST dans un contexte DR.
- Exportez ces identités (certificat + clé privée).
- Importez chaque identité sur le correspondant concerné. Pour les firewalls SNS, référez-vous à la section Importer son identité sur chaque correspondant à rendre compatible avec le mode DR.
Si la PKI ne respecte pas les recommandations IPsec DR (critères décrits ci-dessus)
- Placez-vous sous votre Root CA et créez une sous-CA1 respectant les critères précédents.
- Créez une sous-CA2 de la sous-CA1 respectant ces mêmes critères : cette nouvelle sous-CA2 sera le Trust Anchor de la chaîne de confiance.
En effet, bien que la première sous-CA1 respecte les recommandations IPsec DR pour la signature des certificats des correspondants, son propre certificat a été signé par la RootCA qui elle ne respecte pas ces critères. Le certificat de la sous-CA1 n'est donc pas conforme aux recommandations IPsec DR.
Depuis ce Trust Anchor :
- Générez les identités de tous les correspondants IPsec à rendre compatibles avec le mode DR.
- Exportez ces identités (certificat + clé privée).
- Importez chaque identité sur le correspondant concerné. Pour les firewalls SNS, référez-vous à la section Importer son identité sur chaque correspondant à rendre compatible avec le mode DR.
Cas d'une PKI interne (PKI sur un firewall SNS)
NOTE
Dans cet exemple, la CA signant les certificats de tous les correspondants destinés à être compatibles avec le mode DR existe / est créée sur le firewall SNS dans une version respectant les recommandations IPsec DR.
Si une CA (ou sous-CA) respectant les recommandations IPsec DR existe déjà sur le firewall
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
-
Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Dans la liste des CA et certificats, sélectionnez la CA (ou sous-CA) destinée à signer les certificats IPsec compatibles avec le mode DR.
Les détails de cette CA (ou sous-CA) s'affichent dans la partie droite. - Dans l'onglet Détails > cadre Empreintes, vérifiez que l'algorithme de signature est ecdsa-with-SHA256. Si ce n'est pas le cas, créez une CA (ou sous-CA) pour laquelle le Type de clé est positionné sur SECP ou BRAINPOOL avec une Taille de clé à 256 bits.
- Dans l'onglet Profils de Certificats, vérifiez que les URI des points de distribution de CRL de la CA (ou sous-CA) sont bien précisés. Si ce n'est pas le cas, ajoutez-les.
- Dans l'onglet Profils de Certificats, vérifiez que dans les cadres Autorité de certification, Certificats Utilisateurs et Certificats Serveurs :
- Le Type de clé est positionné sur SECP ou BRAINPOOL,
- La Taille de clé est positionnée exclusivement sur 256 bits,
- La Somme de contrôle est positionnée sur sha256.
Si l'un de ces paramètres diffère des valeurs imposées, modifiez-le pour choisir la valeur adéquate.
-
Cliquez sur Appliquer pour prendre en compte les éventuelles modifications que vous avez effectuées.
NOTE
Les certificats signés par cette CA (ou sous-CA) avant l'ajout des points de distribution de CRL devront être à nouveau générés afin de prendre en compte cette modification.
Si une CA respectant les recommandations IPsec DR doit être créée
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
Créer la CA
- Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Cliquez sur Ajouter
- Sélectionnez Autorité racine.
Un assistant de création s'affiche. - Indiquez un Nom (CA-DR dans cet exemple).
L'Identifiant se remplit automatiquement avec le nom de la CA. Vous pouvez le modifier. - Renseignez les Attributs de l'autorité :
- Organisation (O),
- Unité d'organisation (OU),
- Ville (L),
- État (ST),
- Pays (C).
EXEMPLE
Organisation (O) : Stormshield
Unité d'organisation (OU) : Documentation
Ville (L) : Lille
État (ST) : Nord
Pays (C) : France
- Cliquez sur Suivant.
- Renseignez puis confirmez le Mot de passe protégeant la CA.
- Vous pouvez indiquer l'adresse E-mail de contact pour cette CA.
- La durée de Validité proposée par défaut pour la CA est de 3650 jours (valeur conseillée).
Vous pouvez la modifier. - Type de clé : sélectionnez impérativement SECP ou BRAINPOOL.
- Taille de clé (bits) : sélectionnez impérativement 256.
- Cliquez sur Suivant.
- Points de distribution des CRL : ajoutez les URI des points de distribution de CRL auxquels les équipements IPsec de vos correspondants pourront s'adresser afin de vérifier la validité des certificats émis par votre CA.
- Cliquez sur Suivant.
Un résumé des informations concernant la CA est affiché. - Validez en cliquant sur Terminer.
Déposer la CRL sur les points de distribution
- Sélectionnez la CA précédemment créée.
- Cliquez sur Télécharger.
- Sélectionnez CRL puis le format d'export (PEM ou DER).
Un message vous propose le lien de téléchargement. - Téléchargez la CRL en cliquant sur ce lien puis déposez cette CRL sur chacun des points de distribution de CRL précisés lors de la création de la CA.
Créer l'identité du firewall en mode DR (si elle n'existe pas) et de chacun de ses correspondants
Pour les correspondants de type passerelle
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Sélectionnez la CA signant les certificats pour le mode DR (CA-DR dans cet exemple).
- Cliquez sur Ajouter et sélectionnez Identité serveur.
- Saisissez le nom de domaine qualifié du firewall correspondant (exemple : FW-Full-DR.stormshield.eu).
L'Identifiant se remplit automatiquement avec le nom de domaine qualifié. Vous pouvez le modifier. - Cliquez sur Suivant.
- Renseignez le mot de passe de la CA signant cette identité serveur (CA-DR dans cet exemple).
- Cliquez sur Suivant.
- Sélectionnez une durée de validité en jours (365 jours proposés par défaut).
- Le type de clé proposé par défaut est compatible avec le mode DR (BRAINPOOL ou SECP) : il s'agit de celui de la CA signant l'identité serveur.
- Sélectionnez impérativement 256 bits pour la Taille de clé.
- Cliquez sur Suivant.
- Vous pouvez ajouter un alias pour ce correspondant (optionnel).
- Cliquez sur Suivant.
Un résumé de l'identité s'affiche. - Cliquez sur Terminer pour valider la création de cette identité serveur.
NOTE
Lorsqu'il est défini, l'alias ou Subject Alternative Name (SAN) prend place dans le champ SubjectAltName du certificat.
Il est ainsi pertinent de le définir par le nom de domaine qualifié (FQDN) renseigné à l'étape 4 afin de pouvoir utiliser ce SAN comme ID du correspondant. En effet, la syntaxe est plus simple que celle du sujet complet du certificat.
Répétez cette procédure pour créer l'identité de chaque correspondant concerné (passerelles).
Pour les correspondants de type mobile
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Sélectionnez la CA signant les certificats pour le mode DR (CA-DR dans cet exemple).
- Cliquez sur Ajouter et sélectionnez Identité utilisateur.
- Dans le champ CN, saisissez le nom du correspondant (exemple : John Doe).
L'Identifiant se remplit automatiquement avec le nom du correspondant. Vous pouvez le modifier. - Renseignez l'adresse e-mail du correspondant (john.doe@stormshield.eu dans cet exemple).
- Cliquez sur Suivant.
- Renseignez le mot de passe de la CA signant cette identité serveur (CA-DR dans cet exemple).
- Cliquez sur Suivant.
- Sélectionnez une durée de validité en jours (365 jours proposés par défaut).
- Le type de clé proposé par défaut est compatible avec le mode DR (BRAINPOOL ou SECP) : il s'agit de celui de la CA signant l'identité serveur.
- Sélectionnez impérativement 256 bits pour la Taille de clé.
- Cliquez sur Suivant.
Un résumé de l'identité s'affiche. - Cliquez sur Terminer pour valider la création de cette identité utilisateur.
Répétez cette procédure pour créer l'identité de chaque correspondant mobile.
Exporter l'identité de chaque correspondant à rendre compatible avec le mode DR
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Sélectionnez l'identité serveur à exporter.
- Cliquez sur Télécharger : sélectionnez Identité puis Au format P12.
- Dans le champ Entrez le mot de passe : créez un mot de passe destiné à protéger le fichier P12.
- Confirmez ce mot de passe.
- Cliquez sur Télécharger le certificat (P12).
- Enregistrez ce fichier au format P12 sur votre poste de travail.
Répétez cette procédure pour exporter l'identité de chaque correspondant concerné (passerelles et correspondants mobiles).
Importer son identité sur chaque correspondant à rendre compatible avec le mode DR
Sur chaque correspondant de type passerelle, autre que le firewall dans une version SNS respectant les recommandations IPsec DR :
- Placez-vous dans le module Configuration > Objets > Certificats et PKI .
- Cliquez sur Ajouter et sélectionnez Importer un fichier.
- Dans le champ Mot de passe du fichier (si PKCS#12) : renseignez le mot de passe protégeant le fichier P12.
- Cliquez sur Importer.
Supprimer les clés privées des identités des correspondants sur le firewall (recommandé)
Une fois le fichier P12 importé sur le correspondant à rendre compatible avec le mode DR, il est fortement recommandé de supprimer la clé privée de l'identité de ce correspondant.
Sur le firewall hébergeant la CA (par exemple, le firewall dans une version SNS respectant les recommandations IPsec DR) :
- Placez-vous dans le module Configuration > Objets > Certificats et PKI.
- Sélectionnez l'identité serveur du correspondant pour lequel vous voulez supprimer la clé privée.
- Cliquez sur Action : sélectionnez Supprimer la clé privée.
La clé privée est immédiatement supprimée.
Répétez cette procédure pour chacun des correspondants concernés (passerelles et correspondants mobiles).
Activer la vérification de révocation des certificats des correspondants
L'autorité de certification (CA) dont sont issus les certificats utilisés pour l'authentification des correspondants IPsec doit impérativement mettre en œuvre un mécanisme de révocation (CRL et points de distribution de CRL ou serveurs OCSP) et la vérification des certificats issus de cette CA doit être activée sur les correspondants. Lorsque ce paramètre est activé, il est nécessaire de disposer de toutes les CRL de la chaîne de certification. Dans le cas contraire, la politique IPsec courante est désactivée et le message d'erreur "Désactiver la vérification des CRL n'est pas compatible avec le mode DR" est affiché dans le champ Vérification de la politique situé sous la grille de la politique IPsec.
Sur tous les correspondants concernés par le mode DR :
- Placez-vous dans le module Configuration > Système > Console CLI.
- Tapez la suite de commandes :
CONFIG IPSEC UPDATE slot=x CRLrequired=1
CONFIG IPSEC CHECK index=1
CONFIG IPSEC ACTIVATE
Où x représente le numéro de la politique IPsec à modifier. - Cliquez sur Exécuter.
Activer la récupération automatique des CRL
Sur chaque correspondant concerné :
- Placez-vous dans le menu Configuration > onglet Configuration générale.
- Cochez la case Activer la récupération régulière des listes de révocation de certificats (CRL).
En effet, si la CRL de la CA d'un correspondant n'est pas récupérée, les tunnels avec ce correspondant ne pourront pas s'établir.