Annexe : points d'attention pour une mise à jour d'un firewall SNS avec le module TPM initialisé
Cette section présente des informations importantes sur la mise à jour d'un firewall SNS avec le module TPM initialisé.
Contexte
Si une information dans les Notes de version SNS indique que le module TPM devra être scellé de nouveau à l'issue d'une mise à jour, il est fortement recommandé de prendre connaissance des informations de cette section avant de mettre à jour le firewall SNS.
Selon les modifications apportées à la nouvelle version SNS, la valeur des empreintes des PCR peut changer à l'issue de la mise à jour, et l'accès au module TPM peut alors être refusé.
Si l'accès au module TPM est refusé, les fonctionnalités du firewall SNS qui utilisent des certificats dont la clé privée est protégée ne seront plus opérationnelles à l'issue de la mise à jour, et cela tant que l'accès au module TPM ne sera pas rétabli. Par exemple, vous pourriez ne plus pouvoir établir de tunnels VPN avec le firewall SNS ou ne plus pouvoir administrer ce dernier via un serveur SMC.
Pour plus d'informations sur les registres PCR et l'accès au module TPM, reportez-vous à la section Registres PCR.
Versions paliers à prendre en compte
Ce tableau résume les versions paliers à prendre en compte dans le cas d'une mise à jour vers une version 4.8 ou supérieure depuis la dernière version 4.3 LTSB disponible. En cas de saut de version, le contenu des versions intermédiaires s'applique.
| Version | Description |
|---|---|
| 4.8.0 |
|
| 4.8.3 |
|
| 4.8.7 |
|
| À partir de la version 4.8.9 |
|
Accès au module TPM refusé. Vous devez sceller de nouveau le module TPM.
Accès au module TPM toujours possible, mais sa politique de scellement est modifiée.
Mise à jour bloquée si ces trois conditions sont remplies :Recommandations à suivre pour mettre à jour un firewall SNS avec le module TPM initialisé
- Si vous n'êtes pas sûr que le module TPM est initialisé sur votre firewall SNS, vérifiez-le en vous reportant à la section Vérifier l'état du module TPM.
- Vérifiez si la version que vous souhaitez installer nécessite de sceller de nouveau le module TPM. Pour cela, reportez-vous à la section ci-dessus Versions paliers à prendre en compte et aux informations des Notes de version SNS.
- Si le module TPM est initialisé et qu'il nécessite d'être scellé à l'issue de la mise à jour, vérifiez que la clé privée du certificat utilisé pour communiquer avec le serveur SMC ou celle du certificat présenté par les services VPN du firewall SNS n'est pas protégée. Pour le serveur SMC, reportez-vous à la section Cas d'un parc de firewalls géré par un serveur SMC. Pour les services VPN, reportez-vous à la section Utiliser des certificats dont la clé privée est protégée par le module TPM.
- Si la clé privée de ces certificats est protégée, vous devez supprimer cette protection avant de mettre à jour le firewall SNS. Pour le serveur SMC, reportez-vous à la section Cas d'un parc de firewalls géré par un serveur SMC. Pour les services VPN, reportez-vous à la section Gérer la protection de la clé privée d'un certificat déjà présent.
- Dès lors que ces clés privées ne sont plus protégées, vous pouvez mettre à jour le firewall SNS.
- Une fois le firewall SNS à jour, vous devez sceller de nouveau le module TPM. En vous connectant à l'interface Web d'administration du firewall SNS, une fenêtre vous invite à le faire. Si besoin, reportez-vous à la procédure Sceller le module TPM.
- Une fois le module TPM scellé, vous pouvez protéger de nouveau les clés privées dont la protection a été supprimée précédemment. Pour le serveur SMC, reportez-vous à la section Cas d'un parc de firewalls géré par un serveur SMC. Pour les services VPN, reportez-vous à la section Gérer la protection de la clé privée d'un certificat déjà présent.