Précisions sur les cas d'utilisation une fois le module TPM initialisé

Cette section apporte des précisions sur la sauvegarde et la restauration d'une configuration, sur la procédure de configuration initiale par clé USB et sur le calcul du facteur de qualité de la haute disponibilité, une fois le module TPM initialisé.

Sauvegarde de configuration

Vous pouvez sauvegarder manuellement ou automatiquement la configuration du firewall SNS depuis l'interface Web d'administration, la console CLI ou depuis le serveur SMC.

Selon la méthode utilisée, des spécificités existent concernant la présence des clés privées protégées dans le fichier de sauvegarde, ainsi que sur leur état de chiffrement.

Sauvegarde manuelle	Sauvegarde automatique
Interface SNS	Console CLI SNS	SMC (Script CLI)	Interface SNS	Interface SMC
Clés privées incluses (protégées par le module TPM ou non)	Clés privées exclues
Les clés privées protégées sont déchiffrées	Les clés privées protégées sont déchiffrées Il est possible de les conserver chiffrées avec le jeton ondiskprotect=1	Les clés privées protégées restent chiffrées	N/A

Sauvegarde manuelle

Sauvegarde automatique

Interface SNS

Console CLI SNS

SMC (Script CLI)

Interface SNS

Interface SMC

Clés privées incluses (protégées par le module TPM ou non)

Clés privées exclues

Les clés privées protégées sont déchiffrées

Il est possible de les conserver chiffrées avec le jeton ondiskprotect=1

Les clés privées protégées restent chiffrées

N/A

Pour plus d'informations sur la réalisation d'une sauvegarde de configuration, reportez-vous :

Pour l'interface Web d'administration du firewall SNS, à la section Maintenance > Onglet Sauvegarder du Manuel utilisateur SNS v4.8 ou v4.3 LTSB selon la version utilisée.
Pour la console CLI du firewall SNS, à l'aide de la commande CONFIG BACKUP :

CONFIG BACKUP HELP
Pour le serveur SMC, à la section Sauvegarder la configuration des firewalls du Guide d'administration SMC.

IMPORTANT
Le serveur SMC permet de sauvegarder automatiquement la configuration des firewalls SNS. Lorsque le module TPM est initialisé, toutes les clés privées de certificats, protégées par le module TPM ou non, sont exclues des sauvegardes automatiques.

Restauration d'une sauvegarde de configuration

Une sauvegarde contenant des clés privées chiffrées ne peut être restaurée que sur le firewall d'origine. Sur un autre firewall SNS, les clés privées chiffrées ne peuvent pas être déchiffrées car la clé symétrique est supposément différente.

Quelques exceptions existent dans les cas suivants :

Si le mécanisme de dérivation de la clé symétrique a été utilisé pour générer la clé symétrique à partir du mot de passe du TPM, et que ce dernier est le même sur les deux firewalls SNS. Dans ce cas, la clé symétrique est la même sur les deux firewalls SNS.
À la suite d'un échange de firewall (RMA) configuré en haute disponibilité. Pour plus d'informations, reportez-vous aux instructions de l'article Following an RMA, how can I synchronize the configuration and the content of the TPM? de la Base de connaissances Stormshield (authentification nécessaire - anglais uniquement).

Procédure de configuration initiale par clé USB

Lors d'une configuration initiale d'un firewall SNS par clé USB, deux opérations permettent d’interagir avec le module TPM :

L'opération initTPM permet d'initialiser le module TPM du firewall SNS. Si le firewall SNS est membre d'un cluster en haute disponibilité, le mécanisme de dérivation de la clé symétrique est automatiquement utilisé.
L'opération p12import permet d'importer des fichiers PKCS#12 au format .p12 et de protéger par le module TPM la clé privée contenue dans le fichier. L'opération initTPM doit être réalisée avant l'opération p12import.

Pour plus d'informations sur la mise en œuvre de cette procédure et sur les opérations possibles, reportez-vous à la note technique Configuration initiale par clé USB.

Calcul du facteur de qualité de la haute disponibilité (HA)

L'état du module TPM peut être pris en compte dans le calcul du facteur de qualité de la haute disponibilité (HA).

Le jeton de configuration TPMQualityIncluded=1 présent dans la section [Global] du fichier de configuration ConfigFiles/HA/highavailability indique que l'état du module TPM est pris en compte.

Sur les versions SNS 4.8.7 et supérieures, l'état du module TPM n'est pas pris en compte dans le calcul du facteur de qualité de la haute disponibilité si la fonctionnalité Secure Boot est désactivée.

IMPORTANT
Pour rappel, l'intégrité du firewall SNS et de son module TPM est compromise si la fonctionnalité Secure Boot n'est pas activée.

Pour plus d'informations sur le calcul du facteur de qualité de la haute disponibilité (HA), reportez-vous à la note technique Haute disponibilité sur SNS.