Résoudre les problèmes

Ce chapitre liste certains problèmes fréquemment rencontrés lors de l'utilisation du TPM. Si celui que vous rencontrez ne se trouve pas dans ce chapitre, nous vous recommandons de consulter la Base de connaissances Stormshield.

ASTUCE
Vous pouvez effectuer un diagnostic du TPM en exécutant dans une console SSH la commande :
tpmctl -a -v. L'accès SSH doit être autorisé sur le firewall.

Certains modules ne sont plus opérationnels après la mise à jour logicielle d'un firewall

Situation : Après la mise à jour logicielle d'un firewall ou d'un cluster de firewalls en version SNS 4.3 LTSB ou supérieures, les modules utilisant un certificat dont la clé privée est protégée ne sont plus opérationnels (par exemple : les tunnels VPN ne s'établissent plus).

Cause : Des caractéristiques techniques du système ont été modifiées suite à la mise à jour du firewall. Ces nouvelles caractéristiques ne permettent plus aux registres PCR d'accéder au TPM. Il n'est donc plus possible de déchiffrer les clés privées protégées par le TPM.

Solution : Actualisez les valeurs des registres PCR.

  1. Exécutez dans une console CLI la commande suivante :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

  2. Si le firewall est membre d'un cluster en haute disponibilité, exécutez la commande suivante pour effectuer la manipulation sur le firewall passif :

    SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive

    Pour plus d'informations, reportez-vous à la section Mise à jour logicielle d'un cluster de la note technique Haute disponibilité sur SNS.

Certains modules ne sont plus opérationnels après avoir inséré un périphérique de stockage et redémarré le firewall

Situation : Après avoir inséré un périphérique de stockage et redémarré le firewall SNS, les modules utilisant un certificat dont la clé privée est protégée ne sont plus opérationnels (par exemple : les tunnels VPN ne s'établissent plus).

Cause : Des caractéristiques techniques du système ont été modifiées au démarrage du firewall car un nouveau périphérique de stockage a été détecté. Ces nouvelles caractéristiques ne permettent plus aux registres PCR d'accéder au TPM. Il n'est donc plus possible de déchiffrer les clés privées protégées par le TPM.

Solution : Actualisez les valeurs des registres PCR.

  • Pour les versions SNS 4.3 LTSB et SNS 4.7 et supérieures :

    1. Exécutez dans une console CLI la commande suivante :

      SYSTEM TPM PCRSEAL tpmpassword=<password>

    2. Si le firewall est membre d'un cluster en haute disponibilité, actualisez les valeurs des registres PCR du firewall passif en exécutant la commande suivante :

      SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive

  • Pour les versions SNS 3.11 LTSB, exécutez dans une console SSH la commande suivante :

    tpmctl -svp <tpmpassword>

    L'accès SSH doit être autorisé sur le firewall. Seul le compte admin peut effectuer cette action.

Certains modules ne sont plus opérationnels après la bascule d'un firewall passif en actif (haute disponibilité)

Situation : Après la bascule d'un firewall passif en actif, les modules utilisant un certificat dont la clé privée est protégée ne sont plus opérationnels (par exemple : les tunnels VPN ne s'établissent plus).

Cause 1 : Il n'est plus possible de déchiffrer les clés privées protégées par le TPM car le mécanisme de dérivation de la clé symétrique n'est pas activé sur le cluster de firewalls.

Solution 1 :

  1. Vérifiez si le mécanisme de dérivation de la clé symétrique a été activé en exécutant la commande suivante :

    SYSTEM TPM STATUS tpmpassword=<password>

  2. Activez le mécanisme de dérivation de la clé symétrique sur le cluster et renouvelez la clé symétrique en exécutant dans une console CLI les commandes suivantes :

    SYSTEM TPM RENEW tpmpassword=<password> derivekey=on

    HA TPMSYNC tpmpassword=<password>

Cause 2 : Il n'est plus possible de déchiffrer les clés privées protégées par le TPM car les deux firewalls du cluster ont été mis à jour dernièrement en version SNS 4.3 LTSB ou supérieure et les valeurs des registres PCR du firewall passif n'ont pas été actualisées.

Solution 2 : Actualisez les valeurs des registres PCR du nouveau firewall actif.

  • Exécutez dans une console CLI la commande suivante :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

    Pour plus d'informations, reportez-vous à la section Mise à jour logicielle d'un cluster de la note technique Haute disponibilité sur SNS.