Résoudre les problèmes

Cette section liste certains problèmes fréquemment rencontrés lors de l'utilisation du module TPM. Si celui que vous rencontrez ne se trouve pas dans cette liste, nous vous recommandons de consulter la Base de connaissances Stormshield.

ASTUCE
Pour effectuer un diagnostic du module TPM, exécutez dans une console SSH cette commande :

tpmctl -a -v

L'accès SSH doit être autorisé sur le firewall SNS.

Perte du mot de passe d'administration du module TPM

Situation : Le mot de passe du TPM est requis pour réaliser une opération, mais il a été perdu.

Cause : Le mot de passe n'a pas été conservé ni sauvegardé dans un endroit sécurisé.

Solution : Il n'est pas possible de réinitialiser le mot de passe du TPM, et Stormshield n'est pas en mesure de le retrouver.

En dernier recours, si vous ne le retrouvez pas, vous pouvez réinitialiser le module TPM en vous reportant aux instructions de l'article I've lost my TPM password, how can I reset it? de la Base de connaissances Stormshield (authentification nécessaire - anglais uniquement).

IMPORTANT
Réinitialiser le module TPM ne permet pas de retrouver l'usage des clés privées qu'il protège. Vous devrez importer de nouveau les certificats concernés et protéger leur clé privée.

Accès à l'interface Web d'administration du firewall SNS et certificat de secours

Situation : L'accès à l'interface Web d'administration est toujours possible sur un firewall SNS en version 4.8.7 ou supérieure dont la clé privée du certificat présenté par l'interface Web d'administration est protégée par le module TPM, alors que l'état du module TPM indique qu'il doit être scellé de nouveau.

Cause : Des caractéristiques techniques du système ont été modifiées. L'accès au module TPM n'est alors plus possible car la valeur des empreintes des PCR de confiance a été modifiée, ce qui rend impossible le déchiffrement de la clé privée protégée du certificat présenté par l'interface Web d'administration.

Cependant, un certificat de secours est utilisé pour maintenir l'accès à l'interface Web d'administration :

  • Sur les versions 4.8.7 et 4.8.x supérieures, il s'agit du certificat par défaut en configuration d'usine, correspondant au numéro de série du firewall SNS,
  • Sur les versions 5 en configuration d'usine, il s'agit d'un certificat auto-généré pour cet accès.

Solution : Même si l'accès à l'interface Web d'administration est toujours possible grâce au certificat de secours, toutes les clés privées protégées par le module TPM ne peuvent plus être déchiffrées. Pour résoudre ce problème, vérifiez d'abord que le changement des caractéristiques techniques est légitime, puis scellez le module TPM en suivant la procédure Sceller le module TPM.

Des fonctionnalités ne sont plus opérationnelles

Après la mise à jour logicielle du firewall SNS

Situation : Après la mise à jour logicielle d'un firewall SNS ou d'un cluster de firewalls SNS en version 4.3 LTSB ou supérieure, les fonctionnalités utilisant un certificat dont la clé privée est protégée ne sont plus opérationnelles.

Cause : Des caractéristiques techniques du système ont été modifiées à la suite de la mise à jour du firewall SNS. L'accès au module TPM n'est alors plus possible car la valeur des empreintes des PCR de confiance a été modifiée, ce qui rend impossible le déchiffrement des clés privées protégées. L'état du module TPM indique qu'il doit être scellé de nouveau.

Solution : Scellez le module TPM en suivant la procédure Sceller le module TPM.

Après avoir inséré un périphérique de stockage et redémarré le firewall SNS

Situation : Après avoir inséré un périphérique de stockage et redémarré le firewall SNS, les fonctionnalités utilisant un certificat dont la clé privée est protégée ne sont plus opérationnelles.

Cause : Des caractéristiques techniques du système ont été modifiées au démarrage du firewall SNS car un nouveau périphérique de stockage a été détecté. L'accès au module TPM n'est alors plus possible car la valeur des empreintes des PCR de confiance a été modifiée, ce qui rend impossible le déchiffrement des clés privées protégées. L'état du module TPM indique qu'il doit être scellé de nouveau.

Solution : Si la présence du périphérique de stockage est légitime, scellez le module TPM en suivant la procédure Sceller le module TPM.

Après la bascule du firewall passif en actif (haute disponibilité)

Situation : Après la bascule d'un firewall passif en actif, les fonctionnalités utilisant un certificat dont la clé privée est protégée ne sont plus opérationnelles.

  • Cause 1 : Le mécanisme de dérivation de la clé symétrique n'a pas été activé sur le cluster de firewalls SNS. Vous pouvez le vérifier en exécutant cette commande CLI :

    SYSTEM TPM STATUS tpmpassword=<password>

    Solution : Activez le mécanisme de dérivation de la clé symétrique sur le cluster et renouvelez la clé symétrique en exécutant les commandes CLI suivantes :

    SYSTEM TPM RENEW tpmpassword=<password> derivekey=on

    HA TPMSYNC tpmpassword=<password>

    • Remplacez <password> par le mot de passe du TPM,
    • Comme le firewall est membre d'un cluster en haute disponibilité, renseignez derivekey=on.

  • Cause 2 : Les deux firewalls SNS du cluster ont été mis à jour dernièrement en version SNS 4.3 LTSB ou supérieure. Après la bascule, l'accès au module TPM n'est alors plus possible car la valeur des empreintes des PCR de confiance a été modifiée, ce qui rend impossible le déchiffrement des clés privées protégées. L'état du module TPM indique qu'il doit être scellé de nouveau.

    Solution : Scellez le module TPM en suivant la procédure Sceller le module TPM.