Protéger les clés privées de certificats d'un firewall SNS
Cette section explique comment protéger les clés privées de certificats d'un firewall SNS par le module TPM et comment vérifier si une clé privée est protégée.
Protéger la clé privée d'un certificat déjà ajouté
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.
- Rendez-vous dans Configuration > Objets > Certificats et PKI.
- Sélectionnez le certificat (identité) concerné.
- Cliquez sur Actions > Protéger avec le TPM. Si vous venez d'initialiser le module TPM et que le bouton Protéger avec le TPM ne s'affiche pas, actualisez le module pour qu'il s'affiche.
- Cliquez sur OK.
Depuis la console CLI
-
Exécutez cette commande pour afficher les autorités de certification :
PKI CA LIST
-
Si nécessaire, exécutez cette commande pour afficher la liste des autorités de certification intermédiaires signées par l'autorité racine concernée (
<RootCA>) :PKI CA LIST CANAME=<RootCA>
-
Exécutez cette commande pour afficher les certificats issus de l'autorité de certification (
<CA>) :PKI CERT LIST CANAME=<CA>
-
Exécutez cette commande pour protéger la clé privée du certificat concerné (
<CERTNAME>) :PKI CERT PROTECT CANAME=<CA> NAME=<CERTNAME> tpm=ondisk
-
Exécutez cette commande pour activer la nouvelle configuration :
PKI ACTIVATE
Depuis le serveur SMC
Pour plus d'informations, reportez-vous à la section Activer la protection par TPM d'une clé privée déjà existante du Guide d'administration SMC.
Ajouter un certificat et protéger sa clé privée
Depuis l'interface Web d'administration
- Rendez-vous dans Configuration > Objets > Certificats et PKI.
- Cliquez sur Ajouter et sélectionnez le certificat (identité) concerné.
-
Complétez les informations demandées. Cochez la case Protéger cette identité à l'aide du TPM pendant les étapes.
- Cliquez sur Terminer.
Pour plus d'informations, reportez-vous à la section Certificats et PKI du Manuel utilisateur SNS v4.8 ou v4.3 LTSB selon la version utilisée.
Depuis la console CLI
-
Exécutez cette commande en utilisant notamment le jeton
tpm=ondisk:PKI CERT CREATE
Si nécessaire, exécutez cette commande pour afficher l'aide :
PKI CERT CREATE HELP
-
Exécutez cette commande pour activer la nouvelle configuration :
PKI ACTIVATE
Depuis le serveur SMC
Pour plus d'informations, reportez-vous à la section Importer ou déclarer un certificat pour un firewall du Guide d'administration SMC.
NOTE
Lorsque le module TPM est initialisé, les clés privées des certificats déclarés sur le firewall SNS par le serveur SMC sont par défaut protégées par le module TPM. Pour modifier ce comportement, reportez-vous à la section Désactiver la protection de la clé privée par TPM du Guide d'administration SMC.
Importer un certificat et protéger sa clé privée
Depuis l'interface Web d'administration
- Rendez-vous dans Configuration > Objets > Certificats et PKI.
- Cliquez sur Ajouter > Importer un fichier.
-
Complétez les informations demandées. Cochez la case Protéger cette identité à l'aide du TPM pendant les étapes.
- Cliquez sur Terminer.
Pour plus d'informations, reportez-vous à la section Certificats et PKI du Manuel utilisateur SNS v4.8 ou v4.3 LTSB selon la version utilisée.
Depuis la console CLI
-
Exécutez cette commande en personnalisant les jetons de configuration. Dans l'exemple ci-dessous, le fichier monfichier.p12, préalablement téléversé sur le firewall SNS dans le répertoire /tpm/, sera importé.
PKI IMPORT type=<req|cert|pkey|crl|ca|all> format=<p12|pem|der> password=<pass> force=<0|1> tpm=ondisk < /tmp/monfichier.p12
Si nécessaire, exécutez cette commande pour afficher l'aide :
PKI IMPORT HELP
-
Exécutez cette commande pour activer la nouvelle configuration :
PKI ACTIVATE
Depuis le serveur SMC
Pour plus d'informations, reportez-vous à la section Importer ou déclarer un certificat pour un firewall du Guide d'administration SMC.
NOTE
Lorsque le module TPM est initialisé, les clés privées des certificats déclarés sur le firewall SNS par le serveur SMC sont par défaut protégées par le module TPM. Pour modifier ce comportement, reportez-vous à la section Désactiver la protection de la clé privée par TPM du Guide d'administration SMC.
Vérifier si la clé privée d'un certificat est protégée
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.
- Rendez-vous dans Configuration > Objets > Certificats et PKI.
-
Repérez le certificat (identité) concerné.
Si l'icône
s'affiche, la clé privée du certificat est protégée par le module TPM. Cette information est également disponible dans l'onglet Détails en sélectionnant au préalable le certificat concerné ou dans l'info-bulle qui s'affiche en survolant le certificat.
Si un avertissement s'affiche, le certificat est utilisé dans la configuration du firewall SNS mais sa clé privée n'est pas protégée par le module TPM. Cette information est également disponible dans l'info-bulle qui s'affiche en survolant le certificat.
Depuis la console CLI
Pour vérifier les certificats utilisés dans la configuration du firewall SNS :
-
Exécutez cette commande :
MONITOR CERT
-
Vérifiez le résultat.
tpm=Usedindique que la clé privée est protégée par le module TPM.
Pour vérifier l'ensemble des certificats du firewall SNS :
-
Exécutez cette commande pour afficher les autorités de certification :
PKI CA LIST
-
Si nécessaire, exécutez cette commande pour afficher la liste des autorités de certification intermédiaires signées par l'autorité racine concernée (
<RootCA>) :PKI CA LIST CANAME=<RootCA>
-
Exécutez cette commande pour afficher les certificats issus de l'autorité de certification (
<CA>) :PKI CERT LIST CANAME=<CA>
Dans le résultat,
tpm=ondiskindique que la clé privée est protégée par le module TPM. -
Si nécessaire, exécutez cette commande pour afficher les informations d'un certificat en particulier (
<CERTNAME>) :PKI CERT SHOW CANAME=<CA> NAME=<CERTNAME>
Depuis le serveur SMC
Pour plus d'informations, reportez-vous à la section Savoir si une clé privée est protégée par TPM du Guide d'administration SMC.