Mettre à jour le BIOS et le firmware de Intel Management Engine

Cette section présente les étapes à suivre pour mettre à jour le BIOS d'un firewall SN1100 en version R1.03 depuis le mode console à l'aide d'une clé USB.

Connecter les périphériques sur le firewall SNS

  • Raccordez l'ordinateur au firewall SNS à l'aide d'un câble USB-A vers USB-C (côté firewall SNS) ou d'un câble série RJ45 vers DB9 (RS232). La connexion côté firewall sur un port USB-C nécessite l'installation du pilote PL23XX USB-to-Serial.

    - ou -

  • Reliez un clavier USB et un écran à l'aide d'un câble HDMI au firewall SNS.

1 : Port série RJ45 en mode console

2 : Ports USB 3.0

3 : Bouton Reset

4 : Bouton de mise en configuration d'usine (defaultconfig)

5 : Port série micro USB en mode console

1 : Port HDMI : branchement de l'écran

2 : Port USB 3.0

3 : Bouton d'Alimentation

4 : Embase secteur

5 : Bouton Alarme OFF

Vérifier la version de BIOS actuelle

  1. Connectez-vous en console ou en SSH au système du firewall SNS.
  2. Authentifiez-vous à l'aide du compte admin du système du firewall SNS.

  3. Tapez la commande :

    dmidecode -s bios-version

    Le firewall SNS doit afficher la version R1.00 ou R1.01.

NOTE
Vous pouvez également afficher la version de BIOS en appuyant plusieurs fois sur la touche [SUPPR] du clavier pendant le démarrage du firewall. Rendez-vous dans le menu MAIN > ligne BIOS Version, la version de BIOS installée sur le firewall est affichée.

Désactiver Secure Boot

La processus de mise à jour nécessite la désactivation de Secure Boot pour permettre au firewall SNS de démarrer sur la clé USB préparée précédemment.

Pour désactiver Secure Boot, reportez-vous à la note technique Gérer Secure Boot dans lUEFI des firewalls SNS.

Mettre à jour le BIOS et le firmware de Intel Management Engine

IMPORTANT
Le processus de mise à jour est automatique et dure environ cinq minutes. Une fois lancé, ce processus ne doit jamais être interrompu et le firewall SNS ne doit pas être déconnecté du réseau électrique. Ceci aurait pour conséquence de rendre le firewall SNS totalement inopérant.

  1. Assurez-vous d'avoir branché le firewall SN1100 au réseau électrique. Si votre firewall dispose d'un module d'alimentation supplémentaire (optionnel) pour la redondance, assurez-vous d'avoir branché les deux alimentations électriques.

  2. Insérez la clé USB préparée précédemment dans un port USB.

  3. Redémarrez le firewall SNS à l'aide de la commande :

    reboot

    Le processus de mise à jour démarre :

    Mise à jour automatique du BIOS depuis la clé USB

    Pendant la mise à jour, le firewall SNS redémarre à plusieurs reprises. Ce comportement est normal.

  4. Patientez jusqu'à la fin de la mise à jour. Lorsque le processus de mise à jour est terminé, le firewall SNS s'éteint.

  5. Débranchez la clé USB du firewall SNS.

Vérifier les versions de BIOS et de Intel Management Engine après la mise à jour

  1. Redémarrez le firewall SNS. Dès que le firewall SNS démarre, appuyez plusieurs fois sur la touche [Suppr] du clavier pour interrompre sa séquence de démarrage et atteindre le BIOS.
  2. Rendez-vous dans l'onglet Main et vérifiez la version de BIOS :
    • Champ BIOS Version : la version qui s'affiche doit être R1.03.
  3. Rendez-vous dans l'onglet Advanced > PCH-FW Configuration et vérifiez la version du Intel Management Engine :
    • Champ ME Firmware Version : la version qui s'affiche doit être 14.1.74.2355.
  4. Quittez le BIOS.

Actions à mener à l'issue de la mise à jour

À l'issue de la mise à jour du BIOS, vous devez mener les actions suivantes, dans cet ordre.

Paramétrer le mot de passe d'accès au panneau de configuration de l'UEFI

Si vous aviez défini un mot de passe d'accès au panneau de configuration de l'UEFI, celui-ci est supprimé. Pour définir un nouveau mot de passe, reportez-vous à la note technique Protéger l'accès au panneau de configuration de l'UEFI des firewalls SNS.

Activer Secure Boot

Cette fonctionnalité est désactivée par défaut sur le firewall SN1100. Si vous l'aviez activée sur votre firewall, vous devez activer de nouveau Secure Boot en vous reportant à la note technique Gérer Secure Boot dans l'UEFI des firewalls SNS.

Sceller de nouveau le module TPM

Si vous aviez initialisé le module TPM, les fonctionnalités qui utilisent des certificats dont la clé privée est protégée par le module TPM (VPN, firewall SNS administré par un serveur SMC, etc.) ne sont plus opérationnelles. Pour rétablir les fonctionnalités concernées, suivez l'une des procédures ci-dessous pour sceller de nouveau le module TPM.

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures. Pour les versions SNS antérieures, vous devez réaliser cette manipulation depuis la console CLI.

  1. Connectez-vous à l'interface Web d'administration du firewall SNS. Une fenêtre vous invite à sceller le module TPM du firewall SNS.

    Fenêtre du mot de passe pour sceller le TPM

  2. Renseignez le mot de passe d'administration du module TPM dans le champ correspondant.
  3. Cliquez sur OK.
  4. Si le firewall SNS est membre d'un cluster en haute disponibilité, une deuxième fenêtre vous invite à sceller le module TPM du firewall passif. Renseignez le mot de passe d'administration du module TPM et cliquez sur OK.

Depuis la console CLI

  1. Scellez le module TPM du firewall SNS avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

    Remplacez <password> par le mot de passe d'administration du module TPM.

  2. Si le firewall SNS est membre d'un cluster en haute disponibilité, scellez le module TPM du firewall passif avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive