Protéger les clés privées de certificats du firewall SNS
Ce chapitre explique comment protéger par le TPM la clé privée d'un certificat du firewall SNS.
Protéger la clé privée d'un certificat déjà ajouté
Depuis l'interface Web d'administration
Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.
- Dans Configuration > Objets > Certificats et PKI, sélectionnez le certificat (identité) concerné.
- Cliquez sur Actions > Protéger avec le TPM.
- Cliquez sur OK.
Depuis la console CLI
-
Exécutez la commande suivante pour afficher les autorités de certification :
PKI CA LIST
-
Si nécessaire, affichez la liste des autorités de certification intermédiaires signées par l'autorité racine concernée (
<RootCA>
dans la commande) avec :PKI CA LIST CANAME=<RootCA>
-
Affichez les certificats issus de l'autorité de certification (
<CA>
dans la commande) avec :PKI CERT LIST CANAME=<CA>
-
Protégez la clé privée du certificat concerné (
<CERTNAME>
dans la commande) avec :PKI CERT PROTECT CANAME=<CA> NAME=<CERTNAME> tpm=ondisk
-
Activez le changement de configuration avec :
PKI ACTIVATE
Depuis le serveur SMC
Pour plus d'informations, reportez-vous à la section Activer la protection par TPM d'une clé privée déjà existante du Guide d'administration SMC.
Ajouter un certificat et protéger sa clé privée
Depuis l'interface Web d'administration
- Dans Configuration > Objets > Certificats et PKI, cliquez sur Ajouter et sélectionnez le certificat (identité) à ajouter.
-
Complétez les informations demandées. Pour les versions SNS 4.3 LTSB et SNS 4.7 et supérieures, cochez la case Protéger cette identité à l'aide du TPM pendant les étapes.
- Cliquez sur Terminer.
- Pour les versions SNS 3.11 LTSB, protégez la clé privée du certificat depuis la console CLI.
Pour plus d'informations, reportez-vous à la section Certificats et PKI du manuel utilisateur v4 ou v3 de la version SNS utilisée.
Depuis la console CLI
-
Exécutez la commande suivante en utilisant notamment le jeton
tpm=ondisk
:PKI CERT CREATE
Si nécessaire, affichez l'aide de la commande avec :
PKI CERT CREATE HELP
-
Activez ensuite le changement de configuration avec :
PKI ACTIVATE
Depuis le serveur SMC
Vous pouvez importer des certificats (identités) sur le serveur SMC et les déclarer sur le firewall SNS. Pour plus d'informations, reportez-vous à la section Importer ou déclarer un certificat pour un firewall du Guide d'administration SMC.
Par défaut, les clés privées des certificats déclarés sur le firewall SNS par le serveur SMC sont protégées par le TPM si ce dernier est initialisé. Pour modifier ce comportement, reportez-vous à la section Désactiver la protection de la clé privée par TPM du Guide d'administration SMC.
Importer un certificat et protéger sa clé privée
Depuis l'interface Web d'administration
- Dans Configuration > Objets > Certificats et PKI, cliquez sur Ajouter > Importer un fichier.
-
Complétez les informations demandées. Pour les versions SNS 4.3 LTSB et SNS 4.7 et supérieures, cochez la case Protéger cette identité à l'aide du TPM.
- Cliquez sur Importer.
- Pour les versions SNS 3.11 LTSB, protégez la clé privée du certificat depuis la console CLI.
Pour plus d'informations, reportez-vous à la section Certificats et PKI du manuel utilisateur v4 ou v3 de la version SNS utilisée.
Depuis le serveur SMC
Vous pouvez importer des certificats (identités) sur le serveur SMC et les déclarer sur le firewall SNS. Pour plus d'informations, reportez-vous à la section Importer ou déclarer un certificat pour un firewall du Guide d'administration SMC.
Par défaut, les clés privées des certificats déclarés sur le firewall SNS par le serveur SMC sont protégées par le TPM si ce dernier est initialisé. Pour modifier ce comportement, reportez-vous à la section Désactiver la protection de la clé privée par TPM du Guide d'administration SMC.