Utiliser des certificats dont la clé privée est protégée par le module TPM

Cette section explique comment utiliser dans la configuration d'un firewall SNS des certificats dont la clé privée est protégée par le module TPM.

Déchiffrement SSL/TLS (interface Web d'administration et portail captif)

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

La clé privée du certificat présenté par l’interface Web d’administration et le portail captif du firewall SNS peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > Utilisateurs > Authentification, onglet Portail captif, cadre Serveur SSL.
  2. Dans le champ Certificat (clé privée), sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le module TPM.

  3. Appliquez la modification.

    La connexion à l'interface Web d'administration est perdue. En retournant sur la page d'authentification, un avertissement peut s'afficher. Vous pouvez continuer vers le site.

NOTE
Si l'accès au module TPM est refusé dans le futur, la clé privée du certificat sélectionné ne pourra plus être déchiffrée. Cependant, un certificat de secours sera utilisé pour maintenir l'accès à l'interface Web d'administration.
Sur les versions 4.8.7 et 4.8.x supérieures, il s'agit du certificat par défaut en configuration d'usine, correspondant au numéro de série du firewall SNS. Sur les versions 5 en configuration d'usine, il s'agit d'un certificat auto-généré pour cet accès.

VPN SSL

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

La clé privée du certificat serveur présenté par le service VPN SSL du firewall SNS peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > VPN > VPN SSL, zone Configuration avancée, cadre Certificats.

  2. Dans le champ Certificat serveur, sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le module TPM. Le certificat sélectionné doit être issu de la même autorité de certification que celle du certificat client.

  3. Dans le champ Certificat client, vous ne pouvez pas sélectionner un certificat dont la clé privée est protégée par le module TPM. En effet, la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

  4. Appliquez la modification.

    Si vous utilisez le client VPN SSL Stormshield en mode automatique, la configuration VPN sera automatiquement récupérée à la prochaine connexion. Pour tous les autres cas, vous devez importer de nouveau la configuration VPN (fichier .ovpn). Pour plus d'informations, reportez-vous à la note technique Configurer et utiliser le VPN SSL des firewalls SNS.

VPN IPsec

La clé privée du certificat présenté pour établir des tunnels IPsec avec authentification par certificat peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > VPN > VPN IPsec, onglet Correspondants.
  2. Sélectionnez dans la grille le correspondant utilisé dans la configuration VPN.

  3. Dans le cadre Identification, champ Certificat, sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le module TPM.

    NOTE
    Pour des configurations utilisant le moteur de gestion des tunnels VPN IPsec IKEv1, ne choisissez pas un certificat dont la clé privée est protégée par le module TPM car les tunnels ne s'établiront plus.

  4. Appliquez la modification.

LDAP interne

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

La clé privée du certificat utilisé pour l'authentification à l'annuaire LDAP interne peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > Utilisateurs > Configuration des annuaires.

  2. Dans la grille, sélectionnez l'annuaire LDAP interne.

  3. Dans le cadre Accès au LDAP interne, champ Certificat SSL présenté par le serveur, sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM.

  4. Appliquez la modification.

Communications avec le serveur SMC

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

La clé privée du certificat utilisé pour les communications avec le serveur SMC peut être protégée par le module TPM. Si le firewall était déjà rattaché à un serveur SMC lors de l'initialisation du module TPM, la clé privée du certificat utilisé pour les communications avec le serveur SMC a été protégée automatiquement.

IMPORTANT
Si l'accès au module TPM est refusé dans le futur, la clé privée du certificat utilisé ne pourra plus être déchiffrée et les communications avec le serveur SMC ne fonctionneront plus.

Pour vérifier / protéger le certificat utilisé :

  1. Rendez-vous dans Configuration > Système > Management Center.

  2. Dans le cadre TPM, cliquez sur Protéger l'agent SMC.

    Si le bouton Déprotéger l'agent SMC s'affiche, c'est que la clé privée est déjà protégée.

  3. Confirmez la modification.

Envois de logs vers un serveur Syslog TLS

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

La clé privée du certificat présenté par le firewall SNS pour s'authentifier auprès du serveur Syslog peut être protégée par le module TPM.

Pour vérifier / modifier le certificat utilisé :

  1. Rendez-vous dans Configuration > Notifications > Logs - Syslog - IPFIX, onglet Syslog.
  2. Dans la grille, sélectionnez le profil du serveur Syslog que vous souhaitez modifier. Les détails du profil s'affichent à droite.
  3. Dans le champ Autorité de certification, sélectionnez l'autorité de certification (CA) ayant signé les certificats que présenteront le firewall SNS et le serveur Syslog pour s'authentifier mutuellement.

  4. Dans le champ Certificat serveur, sélectionnez le certificat que doit présenter le serveur Syslog pour s'authentifier auprès du firewall SNS. Vous ne pouvez pas sélectionner un certificat dont la clé privée est protégée par le module TPM.

  5. Dans le champ Certificat client, sélectionnez le certificat que doit présenter le firewall SNS pour s'authentifier auprès du serveur Syslog. L'icône indique les certificats dont la clé privée est protégée par le TPM.

  6. Appliquez la modification.
  7. Assurez-vous que le serveur Syslog dispose bien du certificat client sélectionné. Vous pouvez exporter le certificat au format P12 dans Configuration > Objets > Certificats et PKI.