Précisions sur les cas d'utilisation une fois le module TPM initialisé
Cette section apporte des précisions sur la sauvegarde et la restauration d'une configuration, sur la procédure de configuration initiale par clé USB et sur le calcul du facteur de qualité de la haute disponibilité, une fois le module TPM initialisé.
Sauvegarde de configuration
Vous pouvez sauvegarder manuellement ou automatiquement la configuration du firewall SNS depuis l'interface Web d'administration, la console CLI ou depuis le serveur SMC.
Selon la méthode utilisée, des spécificités existent concernant la présence des clés privées protégées dans le fichier de sauvegarde, ainsi que sur leur état de chiffrement.
| Sauvegarde manuelle | Sauvegarde automatique | |||
|---|---|---|---|---|
| Interface SNS | Console CLI | SMC (Script CLI) | Interface SNS | Interface SMC |
 Clés privées incluses (protégées par le module TPM ou non) |
 Clés privées exclues |
|||
|
Les clés privées protégées sont déchiffrées |
Les clés privées protégées sont déchiffrées Il est possible de les conserver chiffrées avec le jeton ondiskprotect=1 |
Les clés privées protégées restent chiffrées |
N/A | |
Pour plus d'informations sur la réalisation d'une sauvegarde de configuration, reportez-vous :
- À la section Maintenance > Onglet Sauvegarder du Manuel utilisateur SNS v4.8 ou v4.3 LTSB selon la version utilisée.
-
À l'aide de la commande CLI
CONFIG BACKUP:CONFIG BACKUP HELP
-
À la section Sauvegarder la configuration des firewalls du Guide d'administration SMC.
IMPORTANT
Le serveur SMC permet de sauvegarder automatiquement la configuration des firewalls SNS. Lorsque le module TPM est initialisé, toutes les clés privées de certificats, protégées par le module TPM ou non, sont exclues des sauvegardes automatiques.
Restauration d'une sauvegarde de configuration
Une sauvegarde contenant des clés privées chiffrées ne peut être restaurée que sur le firewall d'origine. Sur un autre firewall SNS, les clés privées chiffrées ne peuvent pas être déchiffrées car la clé symétrique est supposément différente.
Quelques exceptions existent dans les cas suivants :
- Si le mécanisme de dérivation de la clé symétrique a été utilisé pour générer la clé symétrique à partir du mot de passe du TPM, et que le mot de passe du TPM est le même sur les deux firewalls SNS. Dans ce cas, la clé symétrique est la même sur les deux firewalls SNS. À noter que cela concerne aussi bien le cas où les firewalls SNS font partie d'un cluster en haute disponibilité que le cas contraire.
- À la suite d'un échange de firewall (RMA) configuré en haute disponibilité. Pour plus d'informations, reportez-vous aux instructions de l'article Following an RMA, how can I synchronize the configuration and the content of the TPM? de la Base de connaissances Stormshield (authentification nécessaire - anglais uniquement).
Procédure de configuration initiale par clé USB
Lors d'une configuration initiale d'un firewall SNS par clé USB, deux opérations permettent d’interagir avec le module TPM :
-
L'opération initTPM permet d'initialiser le module TPM du firewall SNS. Elle doit être réalisée avant l'opération p12import. Si le firewall SNS est membre d'un cluster en haute disponibilité, le mécanisme de dérivation de la clé symétrique est automatiquement utilisé.
-
L'opération p12import permet d'importer des fichiers PKCS#12 au format .p12 et de protéger par le module TPM la clé privée contenue dans le fichier.
Pour plus d'informations sur la mise en œuvre de cette procédure et sur les opérations possibles, reportez-vous à la note technique Configuration initiale par clé USB.
Calcul du facteur de qualité de la haute disponibilité (HA)
L'état du module TPM peut être pris en compte dans le calcul du facteur de qualité de la haute disponibilité (HA).
Le jeton de configuration TPMQualityIncluded=1 présent dans la section [Global] du fichier de configuration ConfigFiles/HA/highavailability indique que l'état du module TPM est pris en compte.
NOTE
Sur les versions SNS 4.8.7 et supérieures, si la fonctionnalité Secure Boot est désactivée, l'état du module TPM n'est pas pris en compte dans le calcul du facteur de qualité de la haute disponibilité.
Pour plus d'informations sur le calcul du facteur de qualité de la haute disponibilité (HA), reportez-vous à la note technique Haute disponibilité sur SNS.