Gérer le module TPM d'un firewall SNS

Cette section explique comment vérifier l'état du module TPM, modifier son mot de passe d'administration, le sceller, et comment le désactiver.

Vérifier l'état du module TPM

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

  1. Rendez-vous dans Monitoring > Tableau de bord, widget Indicateurs de santé.

  2. Vérifiez la couleur de l'icône de l'indicateur de santé "TPM" pour connaître son état.

Icône Description
Aucune

Le firewall SNS n'est pas équipé d'un module TPM.

Icône en gris

Le firewall SNS est équipé d'un module TPM mais il n'est pas initialisé.

Icône en vert

Le module TPM est initialisé, opérationnel et protège au moins une clé privée.

Icône en orange

Plusieurs états sont possibles :

  • Le module TPM est initialisé, mais ne protège aucune clé privée. En survolant l’icône, l'info-bulle "Le TPM est initialisé mais n’est pas utilisé" confirme cet état.

  • La politique de scellement du module TPM a été modifiée. Pour l'appliquer, vous devez sceller de nouveau le module TPM en suivant la procédure Sceller le module TPM. En survolant l’icône, l'info-bulle "Scellement du TPM requis pour appliquer la nouvelle politique de scellement du TPM" confirme cet état.

Icône en rouge

Plusieurs états sont possibles :

  • Les tests sur le module TPM ne sont pas fonctionnels (celui-ci ne répond plus),

  • L'accès au module TPM n'est plus possible car la valeur des empreintes des PCR de confiance a été modifiée. Pour les actualiser, vous devez sceller de nouveau le module TPM en suivant la procédure Sceller le module TPM. En survolant l’icône, l'info-bulle "Scellement du TPM requis pour retrouver l’accès au TPM" confirme cet état.

  • La fonctionnalité Secure Boot est désactivée. Un avertissement dans le widget Messages du Tableau de bord confirme que la fonctionnalité est désactivée.

Depuis la console CLI

  1. Exécutez cette commande :

    MONITOR TPM

  2. Vérifiez le résultat.

Jeton Valeurs / Description
ondisk_init
  • 1 : le module TPM est initialisé,
  • 0 : le module TPM n'est pas initialisé.

NOTE
Sur les versions SNS 4.3 LTSB, les autres valeurs décrites ci-dessous n'existent pas.

secure_boot_enabled
  • 1 : la fonctionnalité Secure Boot est activée,
  • 0 : la fonctionnalité Secure Boot est désactivée.
ondisk_pkeys_present
  • 1 : le module TPM protège au moins une clé privée,
  • 0 : aucune clé privée n'est protégée par le module TPM.
pcr_access_status
  • Good : l'accès au module TPM est fonctionnel, aucune action nécessaire.
  • Legacy : la politique de scellement du module TPM a été modifiée. Pour l'appliquer, vous devez sceller de nouveau le module TPM en suivant la procédure Sceller le module TPM. Un message confirme cet état.
  • NO : l'accès au module TPM n'est plus possible car la valeur des empreintes des PCR de confiance a été modifiée. Pour les actualiser, vous devez sceller de nouveau le module TPM en suivant la procédure Sceller le module TPM. Un message confirme cet état.
message Si nécessaire, précise des informations sur l'état du module TPM.

Modifier le mot de passe d'administration du module du TPM

Exécutez cette commande :

SYSTEM TPM CHANGE currentpassword=<password> newpassword=<new_password>

Si vous avez oublié le mot de passe du TPM, reportez-vous à la section Résoudre les problèmes.

Sceller le module TPM

Vous devez sceller le module TPM lorsque l'accès à ce dernier n'est plus possible ou que sa politique de scellement a été modifiée. Sceller le module TPM permet de recalculer la valeur des empreintes des PCR de confiance. L'état du module TPM permet d'identifier si cette manipulation est nécessaire.

IMPORTANT
Si la fonctionnalité Secure Boot n'est pas activée sur le firewall SNS, il est recommandé de l'activer avant de sceller de nouveau le module TPM. Pour rappel, la protection assurée par le module TPM est incomplète tant que la fonctionnalité Secure Boot n'est pas activée.

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

  1. Connectez-vous à l'interface Web d'administration du firewall SNS.

    Une fenêtre s'affiche automatiquement si un scellement du module TPM est requis. Dans une configuration en haute disponibilité, une fenêtre s'affiche également si un scellement du module TPM du firewall passif est requis. Si les deux membres du cluster sont concernés, deux fenêtres s'affichent l'une après l'autre.

  2. Renseignez le mot de passe du TPM dans le champ correspondant.

  3. Cliquez sur OK.

Depuis la console CLI

  1. Exécutez cette commande en remplaçant <password> par le mot de passe du TPM :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

  2. Si le firewall SNS est membre d'un cluster en haute disponibilité, exécutez cette commande pour sceller le module TPM du firewall passif :

    SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive

Depuis la console SSH

L'accès SSH doit être autorisé sur le firewall. Seul le compte admin peut effectuer cette action.

Exécutez cette commande en remplaçant <password> par le mot de passe du TPM :

tpmctl -svp <tpmpassword>

Désactiver le module TPM

Dans une console CLI, exécutez cette commande :

SYSTEM TPM RESET tpmpassword=<password> force=<on|off>

  • Remplacez <password> par le mot de passe du TPM,
  • Renseignez force=on si des clés privées de certificats sont protégées par le module TPM et que vous souhaitez tout de même forcer sa désactivation. Les clés privées protégées seront alors déchiffrées.