Configurer le module TPM du firewall SNS
Ce chapitre explique comment configurer le module TPM d'un firewall SNS.
Initialiser le module TPM
Cette section contient les procédures d'initialisation du module TPM d'un firewall SNS ou des modules TPM d'un cluster de firewalls en haute disponibilité (HA).
NOTE
L'initialisation du module TPM n'entraîne pas automatiquement la protection des clés privées de certificats du firewall. Pour les protéger, reportez-vous au chapitre Protéger les clés privées de certificats du firewall SNS.
Initialiser le module TPM d'un firewall SNS
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.3 LTSB et SNS 4.7 et supérieures.
-
Rendez-vous dans Configuration > Objets > Certificats et PKI.
-
Dans la fenêtre d'initialisation du TPM, définissez un mot de passe d'administration du TPM. Il doit respecter la politique de mots de passe définie sur le firewall. Conservez le mot de passe du TPM dans un espace sécurisé et sauvegardé.
Si la fenêtre n'apparaît pas, vérifiez si le module TPM n'est pas déjà initialisé. Si nécessaire, initialisez le module TPM depuis la console CLI.
-
Cliquez sur Appliquer.
Si le firewall est membre d'un cluster en haute disponibilité, le mécanisme de dérivation de la clé symétrique est automatiquement activé.
Depuis la console CLI
Exécutez la commande suivante :
SYSTEM TPM INIT tpmpassword=<password> derivekey=<on|off>
-
Remplacez <password> par le mot de passe d'administration du TPM souhaité. Il doit respecter la politique de mots de passe définie sur le firewall. Conservez le mot de passe du TPM dans un espace sécurisé et sauvegardé,
- Si le firewall est membre d'un cluster en haute disponibilité :
Renseignez derivekey=on pour la commande
SYSTEM TPM INIT
.Initialisez le module TPM du firewall passif en exécutant la commande suivante :
HA TPMSYNC tpmpassword=<password>
Initialiser les modules TPM d'un cluster de firewalls en haute disponibilité (HA)
Si le cluster est déjà créé
Initialisez le TPM du firewall actif et celui du firewall passif. Reportez-vous aux procédures ci-dessus.
Si le cluster n'est pas encore créé
Deux possibilités existent selon si le TPM est déjà initialisé ou non sur les firewalls du cluster.
Le TPM n'est pas encore initialisé sur les firewalls du cluster
- Configurez le cluster (création du cluster et intégration du second firewall).
- Initialisez le TPM du firewall actif et celui du firewall passif. Reportez-vous aux procédures ci-dessus.
Le TPM est déjà initialisé sur le futur firewall actif du cluster
- Configurez le cluster (création du cluster et intégration du second firewall).
-
Renouvelez la clé symétrique du firewall actif en exécutant la commande suivante dans une console CLI :
SYSTEM TPM RENEW tpmpassword=<password> derivekey=on
- Remplacez <password> par le mot de passe du TPM,
- Comme le firewall est membre d'un cluster, renseignez derivekey=on.
Toutes les clés privées de certificats protégées par le TPM sont déchiffrées puis re-chiffrées avec la nouvelle clé symétrique (dérivée du mot de passe du TPM).
-
Initialisez le module TPM du firewall passif en exécutant la commande suivante :
HA TPMSYNC tpmpassword=<password>
Vérifier si le module TPM est initialisé
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.
-
Rendez-vous dans Monitoring > Tableau de bord.
-
Dans le widget Indicateurs de santé, vérifiez l'état du module TPM :
-
Un état en vert indique que le TPM est initialisé et opérationnel,
-
Un état en orange indique que le TPM n'est pas initialisé ou que les sauvegardes automatiques de la configuration du firewall ne sont pas protégées par un mot de passe,
-
Un état en rouge indique que les tests sur le TPM ne sont pas fonctionnels (par exemple lorsque le module TPM ne répond plus),
-
Si l'état du TPM n'apparaît pas (icône non visible), c'est que le firewall n'est pas équipé d'un TPM.
-
Depuis la console CLI
Exécutez la commande suivante :
SYSTEM PROPERTY
TpmInit=1
indique que le module TPM est initialisé.
Gérer le mot de passe du TPM
Modifier le mot de passe du TPM
Dans une console CLI, exécutez la commande suivante :
SYSTEM TPM CHANGE currentpassword=<current_password> newpassword=<new_password>
- Remplacez
<current_password>
par l'actuel mot de passe du TPM, -
Remplacez
<new_password>
par le nouveau mot de passe du TPM. Il doit respecter la politique de mots de passe définie sur le firewall. Conservez le mot de passe du TPM dans un espace sécurisé et sauvegardé.
Si vous avez oublié le mot de passe du TPM
Il n'est pas possible de réinitialiser le mot de passe du TPM. Si vous ne retrouvez pas le mot de passe du TPM, en dernier recours, vous pouvez réinitialiser le module TPM du firewall.
Notez que réinitialiser le module TPM ne permet pas de retrouver l'usage des clés privées de certificats chiffrées. Vous devrez ré-importer sur le firewall les certificats concernés et protéger de nouveau leur clé privée.
Pour réinitialiser le module TPM, reportez-vous aux instructions de l'article I've lost my TPM password, how can I reset it? de la Base de connaissances Stormshield (anglais uniquement).
Désactiver le module TPM
Dans une console CLI, exécutez la commande suivante :
SYSTEM TPM RESET tpmpassword=<password> force=<on|off>
- Remplacez <password> par le mot de passe du TPM,
- Renseignez force=on si des clés privées de certificats sont protégées par le TPM et que vous souhaitez tout de même forcer sa désactivation. Les clés privées protégées seront alors déchiffrées.