Première connexion au boîtier

La première connexion au boîtier nécessite une procédure de sécurisation si cette connexion s'effectue au travers d'un réseau qui n’est pas de confiance. Cette opération n'est pas nécessaire si la station d'administration est branchée directement au produit.

L'accès au portail d'administration est sécurisé via le protocole SSL/TLS. Cette protection permet d'authentifier le portail via un certificat, assurant ainsi à l'administrateur qu'il est bien connecté au boîtier désiré. Ce certificat peut être le certificat par défaut du boîtier ou celui renseigné dans sa configuration (Authentification >  Portail captif). Par défaut et selon le modèle, il est signé par l'autorité dont le nom est :

  • NETASQ : CN=numéro de série du boîtier, O=Secure Internet Connectivity, OU=NETASQ  Firewall Certification Authority.
  • Stormshield: CN=Stormshield Products Root CA, O=Stormshield, OU=Cloud Services, C=FR, L=Issy-Les-Moulineaux.

Pour valider un accès sécurisé, le navigateur doit faire confiance à l’autorité de certification qui a signé le certificat utilisé, et appartenant à la liste des autorités de certification de confiance du navigateur. Ainsi pour valider l'intégrité du boîtier, il faut donc avant la première connexion, ajouter l'autorité à la liste des autorités de confiance du navigateur. Selon le modèle, l'autorité correspondante est disponible sur ces liens :
http://pki.stormshieldcs.eu/netasq/root.crt
http://pki.stormshieldcs.eu/products/root.crt

Si le boîtier a configuré un certificat signé par une autre autorité, il faut y ajouter cette autorité à la place de celle par défaut.

En conséquence, la connexion initiale au boîtier ne déclenchera plus d'avertissement du navigateur relatif à l'autorité de confiance. En revanche, un message avertit toujours que le certificat n'est pas valide. En effet, le certificat définit le firewall par son numéro de série, et non par son adresse IP. Pour éviter ce dernier avertissement, il faut spécifier au serveur DNS l'association entre le numéro de série et l'IP du firewall.

Pour plus d'informations, reportez-vous au Guide d'installation et de première configuration d'un firewall SNS.