Créer l’infrastructure PKI

Autorité de Certification (CA)

Dans le menu Configuration > Objets > Certificats et PKI :

  1. Cliquez sur Ajouter > Ajouter une autorité racine :
  2. Renseignez les différents champs obligatoires de l’assistant de création :
    • CN : le nom de votre autorité de certification,
    • Identifiant : le nom entré dans le champ CN est proposé par défaut,
    • Organisation (O). Exemple : le nom de votre entreprise,
    • Unité d’organisation (OU). Exemple : le nom du service utilisateur de la CA,
    • État ou province (ST),
    • Pays (C).

Fenêtre d'ajout de Root CA

  1. Complétez ensuite les champs :
    • Mot de passe (nécessaire lors de la création de certificats),
    • E-mail (optionnel),
    • Taille de clé (2048 octets par défaut),
    • Validité (365 jours par défaut).
  2. Il vous est possible de définir les URI des points de distribution des CRL (Listes de Révocation de Certificats).

Listes de Révocation de Certificats (CRL)

Dans le menu Configuration > Objets > Certificats et PKI :

  1. Sélectionnez votre CA
  2. Cliquez sur Actions > Créer CRL.
  3. L’assistant vous demande le mot de passe de l’autorité de certification. Saisissez-le et cliquez sur Créer CRL pour valider.
  4. Téléchargez ensuite la CRL (fichier au format PEM) afin de l’importer ultérieurement sur les Firewalls distants.

Certificat du Firewall principal

Dans le menu Configuration > Objets > Certificats et PKI :

  1. Cliquez sur Ajouter > Identité serveur.
  2. Renseignez le champ Nom de domaine qualifié avec le nom FQDN du Firewall principal.
    Le champ Identifiant propose par défaut ce même nom.
  3. Indiquez la durée de Validité et la Taille de clé.
  4. Cliquez sur la loupe du champ Autorité de Certification et sélectionnez votre CA pour signer ce certificat.
  5. Renseignez ensuite le mot de passe de l’autorité de certification.
    Les attributs du certificat sont importés automatiquement; il vous est néanmoins possible de les modifier.
  6. L’assistant présente un résumé du certificat : cliquez sur Terminer pour le fermer.

Certificat des Firewalls distants

Procédez à la création des certificats serveurs des Firewalls distants en suivant la méthode précédemment décrite.

Exporter les données de sécurité des sites distants

Dans le menu Configuration > Objets > Certificats et PKI :

  1. Sélectionnez le certificat d’un des deux Firewalls distants.
  2. Cliquez sur Téléchargement > Certificat et choisissez le fichier souhaité.
  3. Après avoir saisi un mot de passe pour le protéger, téléchargez le certificat en cliquant sur l’hyperlien proposé.
  4. Stockez-le sur votre poste d’administration.
  5. Procédez de la même manière pour exporter le certificat du deuxième Firewall distant.

Fenêtre pour télécharger un certificat