Utiliser des certificats dont la clé privée est protégée par le TPM

Ce chapitre récapitule les cas où vous pouvez utiliser des certificats dont la clé privée est protégée par le TPM :

Déchiffrement SSL/TLS (interface Web d'administration et portail captif)

Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.

La clé privée du certificat présenté par l’interface Web d’administration du firewall et son portail captif peut être protégée par le module TPM.

IMPORTANT
Prenez en considération que l'accès à ces interfaces ne sera plus possible si la clé privée du certificat utilisé ne peut plus être déchiffrée.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > Utilisateurs > Authentification, onglet Portail captif, cadre Serveur SSL.
  2. Dans le champ Certificat (clé privée), sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM.

  3. Appliquez la modification.

La connexion à l'interface Web d'administration est alors perdue. En retournant sur la page d'authentification, un avertissement peut apparaître en fonction du certificat utilisé. Vous pouvez continuer vers le site.

VPN SSL

Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.

Le service VPN SSL du firewall SNS et le client VPN présentent des certificats (serveur et client) pour établir un tunnel.

Pour vérifier / modifier les certificats utilisés :

  1. Rendez-vous dans Configuration > VPN > VPN SSL, zone Configuration avancée, cadre Certificats utilisés.
  2. Sélectionnez les certificats souhaités dans les champs correspondants. Ils doivent être issus de la même autorité de certification.

    • Dans le champ Certificat serveur, l'icône indique les certificats dont la clé privée est protégée par le TPM,

    • Dans le champ Certificat client, vous ne pouvez pas sélectionner un certificat dont la clé privée est protégée par le TPM. En effet, la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

  3. Appliquez la modification.
  4. Si vous utilisez le client VPN SSL Stormshield en mode automatique, la configuration VPN sera automatiquement récupérée à la prochaine connexion. Pour tous les autres cas, vous devez ré-importer manuellement la configuration (fichier .ovpn). Pour plus d'informations, reportez-vous à la note technique Configurer et utiliser le VPN SSL des firewalls SNS.

VPN IPsec

La clé privée du certificat présenté pour établir des tunnels IPsec avec authentification par certificat peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > VPN > VPN IPsec, onglet Correspondants.
  2. Dans la grille, sélectionnez le correspondant utilisé dans la configuration VPN.

  3. Dans le cadre Identification, champ Certificat, sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM.

    Pour des configurations utilisant le moteur de gestion des tunnels VPN IPsec IKEv1, les tunnels ne s'établiront plus si la clé privée du certificat utilisé est protégée par le TPM.

  4. Appliquez la modification.

Vous pouvez également sélectionner le certificat lors de l'ajout d'un correspondant (passerelle distante ou correspondant mobile avec authentification par certificat).

LDAP interne

Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.

La clé privée du certificat utilisé pour l'authentification à l'annuaire LDAP interne peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > Utilisateurs > Configuration des annuaires.
  2. Dans la grille, sélectionnez l'annuaire LDAP interne.

  3. Dans le cadre Accès au LDAP interne, champ Certificat SSL présenté par le serveur, sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM.

  4. Appliquez la modification.

Communications avec le serveur SMC

Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.

La clé privée du certificat utilisé pour les communications avec le serveur SMC peut être protégée par le module TPM. À noter que si le firewall était déjà rattaché à un serveur SMC lors de l'initialisation du module TPM, la clé privée du certificat utilisé pour les communications avec le serveur SMC a été protégée automatiquement.

IMPORTANT
Prenez en considération que les communications avec le serveur SMC ne fonctionneront plus si la clé privée du certificat utilisé ne peut plus être déchiffrée.

Pour protéger la clé privée de ce certificat :

  1. Rendez-vous dans Configuration > Système > Management Center.
  2. Dans le cadre TPM, cliquez sur Protéger l'agent SMC.

    Si le bouton Déprotéger l'agent SMC apparaît, c'est que la clé privée est déjà protégée.

  3. Confirmez la modification.

Envois de logs vers un serveur Syslog TLS

Ce cas concerne exclusivement les versions SNS 4.7 et supérieures.

La clé privée des certificats serveur et client utilisés pour l'authentification à un serveur Syslog TLS (protocole TLS) peut être protégée par le module TPM.

Pour vérifier / modifier les certificats utilisés :

  1. Rendez-vous dans Configuration > Notifications > Logs - Syslog - IPFIX, onglet Syslog.
  2. Dans la grille, sélectionnez le profil du serveur Syslog que vous souhaitez modifier.
  3. Dans les détails du profil, sélectionnez l'autorité de certification signataire et les certificats souhaités dans les champs correspondants. L'icône indique les certificats dont la clé privée est protégée par le TPM.

    Si besoin, vous pouvez au préalable créer une identité client et une identité serveur protégées par le TPM dans Configuration > Objets > Certificats et PKI et les sélectionner ici.

  4. Appliquez la modification.
  5. Assurez-vous que le serveur Syslog dispose bien du certificat client sélectionné. Vous pouvez exporter le certificat au format P12 dans Configuration > Objets > Certificats et PKI.