Initialiser le module TPM d'un firewall SNS
Cette section explique comment initialiser le module TPM d'un firewall SNS ou les modules TPM d'un cluster de firewalls SNS en haute disponibilité.
Depuis l'interface Web d'administration
La procédure d'initialisation est différente selon la version installée sur le firewall SNS.
Versions SNS 4.8.7 et supérieures
-
Rendez-vous dans Configuration > Objets > Certificats et PKI.
-
Cliquez sur Init. TPM.
-
Si la fonctionnalité Secure Boot n'est pas activée, un avertissement s'affiche. Il est recommandé d'activer Secure Boot avant d'initialiser le module TPM, mais vous pouvez le faire plus tard. Pour plus d'informations sur l'activation de la fonctionnalité Secure Boot, reportez-vous à la note technique Gérer Secure Boot dans l'UEFI des firewalls SNS.
IMPORTANT
La protection assurée par le module TPM sera incomplète tant que la fonctionnalité Secure Boot ne sera pas activée. -
Dans la fenêtre Définir le mot de passe, définissez le mot de passe d'administration du module TPM en respectant les recommandations de la section Mot de passe d'administration du module TPM, puis cliquez sur Continuer.
-
Sélectionnez les fonctionnalités pour lesquelles vous souhaitez protéger les clés privées de certificats utilisés. Les fonctionnalités qui n'utilisent pas de certificat dans leur configuration ne peuvent pas être sélectionnées. Vous pouvez également laisser toutes les cases décochées et protéger les clés privées de certificats du firewall SNS plus tard.
-
Cliquez sur Terminer.
Le module TPM est initialisé et le mécanisme de dérivation de la clé symétrique est utilisé pour générer la clé symétrique, que le firewall SNS soit membre d'un cluster en haute disponibilité ou non. Si le firewall SNS est membre d'un cluster en haute disponibilité, le module TPM du firewall passif est initialisé automatiquement.
Versions SNS 4.3 LTSB
-
Rendez-vous dans Configuration > Objets > Certificats et PKI.
-
Dans la fenêtre d'initialisation du module TPM, définissez le mot de passe d'administration du module TPM en respectant les recommandations de la section Mot de passe d'administration du module TPM. Si la fenêtre ne s'affiche pas automatiquement, vérifiez si le module TPM n'est pas déjà initialisé ou initialisez-le depuis la console CLI.
-
Cliquez sur Appliquer.
Le module TPM est initialisé. Si le firewall SNS est membre d'un cluster en haute disponibilité, le module TPM du firewall passif est initialisé et le mécanisme de dérivation de la clé symétrique est utilisé pour générer la clé symétrique.
Vous devez ensuite protéger les clés privées de certificats du firewall SNS. Pour cela, reportez-vous à la section Protéger les clés privées de certificats d'un firewall SNS.
Depuis la console CLI
-
Exécutez cette commande :
SYSTEM TPM INIT tpmpassword=<password> derivekey=<on|off>
-
Remplacez <password> par le mot de passe d'administration du module TPM souhaité en respectant les recommandations de la section Mot de passe d'administration du module TPM,
-
Si le firewall SNS est membre d'un cluster en haute disponibilité, renseignez derivekey=on pour utiliser le mécanisme de dérivation de la clé symétrique.
-
-
Si le firewall SNS est membre d'un cluster en haute disponibilité, exécutez cette commande pour initialiser le module TPM du firewall passif :
HA TPMSYNC tpmpassword=<password>
Vous devez ensuite protéger les clés privées de certificats du firewall SNS. Pour cela, reportez-vous à la section Protéger les clés privées de certificats d'un firewall SNS.
Cas d'un cluster de firewalls en haute disponibilité pas encore créé
Le module TPM n'est pas encore initialisé sur les deux firewalls du cluster
- Configurez le cluster (création du cluster et intégration du second firewall SNS).
- Reportez-vous aux procédures ci-dessus pour initialiser le module TPM des firewalls SNS.
Le module TPM est déjà initialisé sur le futur firewall actif du cluster
Versions SNS 4.8.7 et supérieures
- Configurez le cluster (création du cluster et intégration du second firewall SNS).
- Déconnectez-vous de l'interface Web d'administration du firewall SNS et reconnectez-vous.
- Une fenêtre s'affiche automatiquement vous invitant à initialiser le module TPM du firewall passif. Renseignez le mot de passe du TPM dans le champ correspondant.
- Cliquez sur OK.
Versions SNS 4.3 LTSB
-
Exécutez cette commande pour renouveler la clé symétrique du firewall actif et pour vous assurer d'utiliser le mécanisme de dérivation de la clé symétrique :
SYSTEM TPM RENEW tpmpassword=<password> derivekey=on
- Remplacez <password> par le mot de passe du TPM,
- Comme le firewall est membre d'un cluster en haute disponibilité, renseignez derivekey=on.
Toutes les clés privées de certificats protégées par le module TPM sont déchiffrées puis de nouveau chiffrées avec la nouvelle clé symétrique générée à partir du mot de passe du TPM.
-
Exécutez cette commande pour initialiser le module TPM du firewall passif :
HA TPMSYNC tpmpassword=<password>