Gérer le module TPM d'un firewall SNS
Cette section explique comment vérifier l'état du module TPM, modifier son mot de passe d'administration, le sceller, et comment le désactiver.
Vérifier l'état du module TPM
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.
-
Rendez-vous dans Monitoring > Tableau de bord, widget Indicateurs de santé.
-
Vérifiez la couleur de l'icône de l'indicateur de santé "TPM" pour connaître son état.
| Icône | Description |
|---|---|
| Aucune |
Le firewall SNS n'est pas équipé d'un module TPM. |
|
Le firewall SNS est équipé d'un module TPM mais il n'est pas initialisé. |
|
Le module TPM est initialisé, opérationnel et protège au moins une clé privée. |
|
Plusieurs états sont possibles :
|
|
Plusieurs états sont possibles :
|
Depuis la console CLI
-
Exécutez cette commande :
MONITOR TPM
-
Vérifiez le résultat.
| Jeton | Valeurs / Description |
|---|---|
| ondisk_init |
NOTE
|
| secure_boot_enabled |
|
| ondisk_pkeys_present |
|
| pcr_access_status |
|
| message | Si nécessaire, précise des informations sur l'état du module TPM. |
Modifier le mot de passe d'administration du module du TPM
Exécutez cette commande :
SYSTEM TPM CHANGE currentpassword=<password> newpassword=<new_password>
- Remplacez
<password>par l'actuel mot de passe du TPM, -
Remplacez
<new_password>par le nouveau mot de passe du TPM en respectant les recommandations de la section Mot de passe d'administration du module TPM.
Si vous avez oublié le mot de passe du TPM, reportez-vous à la section Résoudre les problèmes.
Sceller le module TPM
Vous devez sceller le module TPM lorsque l'accès à ce dernier n'est plus possible ou que sa politique de scellement a été modifiée. Sceller le module TPM permet de recalculer la valeur des empreintes des PCR de confiance. L'état du module TPM permet d'identifier si cette manipulation est nécessaire.
IMPORTANT
Si la fonctionnalité Secure Boot n'est pas activée sur le firewall SNS, il est recommandé de l'activer avant de sceller de nouveau le module TPM. Pour rappel, la protection assurée par le module TPM est incomplète tant que la fonctionnalité Secure Boot n'est pas activée.
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.
-
Connectez-vous à l'interface Web d'administration du firewall SNS.
Une fenêtre s'affiche automatiquement si un scellement du module TPM est requis. Dans une configuration en haute disponibilité, une fenêtre s'affiche également si un scellement du module TPM du firewall passif est requis. Si les deux membres du cluster sont concernés, deux fenêtres s'affichent l'une après l'autre.
-
Renseignez le mot de passe du TPM dans le champ correspondant.
-
Cliquez sur OK.
Depuis la console CLI
-
Exécutez cette commande en remplaçant <password> par le mot de passe du TPM :
SYSTEM TPM PCRSEAL tpmpassword=<password>
-
Si le firewall SNS est membre d'un cluster en haute disponibilité, exécutez cette commande pour sceller le module TPM du firewall passif :
SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive
Depuis la console SSH
L'accès SSH doit être autorisé sur le firewall. Seul le compte admin peut effectuer cette action.
Exécutez cette commande en remplaçant <password> par le mot de passe du TPM :
tpmctl -svp <tpmpassword>
Désactiver le module TPM
Dans une console CLI, exécutez cette commande :
SYSTEM TPM RESET tpmpassword=<password> force=<on|off>
- Remplacez <password> par le mot de passe du TPM,
- Renseignez force=on si des clés privées de certificats sont protégées par le module TPM et que vous souhaitez tout de même forcer sa désactivation. Les clés privées protégées seront alors déchiffrées.