Gérer les Certificats de Périphérique (WSM)

Dans Firebox System Manager, vous pouvez :

  • Afficher une liste des certificats actuels du Firebox et leurs propriétés
  • Mettre à jour les certificats d'Autorité de Certification approuvée.
  • Supprimer un certificat du périphérique
  • Exporter un certificat afin de le faire signer ou de le distribuer
  • Importer un certificat ou une liste de révocation de certificats (CRL)

Lorsque vous importez, mettez à jour ou supprimez un certificat sur un membre du FireCluster, la modification se synchronise automatiquement avec l'autre membre du FireCluster. Vous n'avez pas besoin d'importer des certificats différents pour les membres du FireCluster.

Nous vous recommandons vivement de ne pas supprimer les certificats d'Autorité de Certification publics. Si vous supprimez un certificat d'Autorité de Certification approuvé pour les proxys, certains services de sécurité peuvent ne pas fonctionner.

Afficher les certificats

Pour afficher la liste actuelle des certificats :

  1. Ouvrez Firebox System Manager.
  2. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'ouvre.

Capture d'écran de la boîte de dialogue Certificats

Dans cette boîte de dialogue, vous pouvez consulter la liste de tous les certificats et de toutes les demandes de signature de certificats. Cette liste comprend :

  • L'état et le type du certificat
  • L'algorithme utilisé par le certificat (EC, RSA, ou DSA)
  • Le nom de l'objet ou l'identificateur du certificat

Pour filtrer l'affichage selon le type de certificat, cliquez sur la liste déroulante Afficher. Pour trier la liste, cliquez sur n'importe quel en-tête de colonne.

  1. Pour afficher des informations supplémentaires sur un certificat de la liste, sélectionnez-le et cliquez sur Détails.
    La boîte de dialogue Détails du Certificat s'ouvre. Vous pouvez voir quelle autorité de certification a signé le certificat et l'empreinte du certificat. Vous pouvez utiliser ces informations à des fins de dépannage ou pour identifier les certificats de façon unique.

capture d'écran de la page Détails du certificat

À propos de l'État du Certificat

Signé — Le certificat est valide et peut être utilisé.

Révoqué — Le certificat a été révoqué via la Liste de Révocation des Certificats (CRL) par l'autorité de certification (CA) émettrice avant la date d'expiration.

Expiré — Le certificat a expiré.

Pas encore valide — La date de début de validité du certificat est ultérieure à la date du jour et ne correspond pas à la date et à l'heure du Firebox.

En attente — La demande de signature du certificat a été créée. Le certificat signé correspondant doit être téléchargé avant de pouvoir être utilisé.

Mettre à jour les Certificats d'autorité de certification approuvés

Votre Firebox peut obtenir et installer automatiquement de nouvelles versions des certificats d'Autorité de Certification approuvée stockés sur le Firebox. Cette mise à jour vous permet de disposer des versions les plus récentes pour tous les certificats d'autorité de certification approuvée sur votre Firebox. Tous les certificats périmés sont mis à jour et de nouveaux certificats d'autorité de certification approuvée sont ajoutés à votre périphérique. Les certificats mis à jour sont téléchargés depuis un serveur sécurisé de WatchGuard. Le Firebox recherche des mises à jour toutes les 48 heures.

Pour activer les mises à jour automatiques :

  1. Ouvrez Policy Manager puis choisissez Configurer > Certificats.

Capture d'écran de la page Actualiser les certificats d'Autorité de certification approuvée dans WSM

  1. Cochez la case Activer les mises à jour automatiques des certificats d'Autorité de Certification approuvée.
  2. Cliquez sur OK.

Supprimer un certificat

Lorsque vous supprimez un certificat, il ne peut plus être utilisé pour l'authentification. Si vous supprimez l'un des certificats générés automatiquement tel que le certificat autosigné utilisé par défaut par le proxy, votre Firebox crée un nouveau certificat autosigné à cette fin lors de son prochain démarrage ou lors de l'exécution de la commande de mise à niveau du certificat de Command Line Interface (CLI). Le Firebox ne crée pas un nouveau certificat autosigné automatiquement si vous avez importé un autre certificat.

Le trafic échouera si vous supprimez certains certificats, comme les certificats de l'autorité proxy ou les certificats du Serveur proxy, sans les remplacer. Si vous supprimez un certificat d'Autorité de Certification approuvé pour les proxys, certains services de sécurité peuvent ne pas fonctionner. Une bonne pratique consiste à ajouter le nouveau certificat avant de supprimer l'ancien.

Il est impossible de supprimer un certificat du Firebox s'il est utilisé dans une configuration de tunnel Branch Office VPN (BOVPN) IPSec.

  1. Sélectionnez le certificat dans la boîte de dialogue Certificats.
  2. Cliquez sur Supprimer.
    La boîte de dialogue Supprimer un Certificat s'ouvre.
  3. Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification pour un compte d'utilisateur avec les privilèges Administrateur de Périphérique (lecture/écriture).
  4. Cliquez sur OK.
    Le Certificat est supprimé.

Importer une CRL

Vous pouvez importer une liste de révocation de certificats (CRL) que vous avez précédemment téléchargée sur votre ordinateur local. Les CRL servent uniquement à vérifier l'état des certificats utilisés pour l'authentification VPN. Les certificats doivent être encodés au format PEM (base 64).

  1. Cliquez sur Importer la CRL.

capture d'écran de la page d'onglet Importer une CRL

  1. Cliquez sur Parcourir et cherchez le fichier puis cliquez sur OK.
  2. Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification pour un compte d'utilisateur avec les privilèges Administrateur de Périphérique (lecture/écriture).
  3. Cliquez sur OK.
    La Liste de Révocation de Certificats (CRL) que vous avez indiquée est ajoutée à celle de votre périphérique.

Importer un Certificat

Vous pouvez importer un certificat depuis le presse-papiers de Windows ou depuis un fichier de votre ordinateur local. Les certificats doivent être au format encodé base64 PEM ou fichier PFX.

Dans Fireware v12.2.1 ou les versions antérieures, avant d'importer un certificat à utiliser avec la fonctionnalité d'inspection de contenu du proxy, vous devez importer chaque certificat le précédant dans la chaîne de confiance avec le type Utilisation Générale. Commencez par le certificat CA racine avant les certificats CA intermédiaires.

À Propos des Fichiers PFX

Un fichier PFX est un fichier d'archive de groupement de certificats protégé par mot de passe contenant l'ensemble de la chaîne de certificats ainsi que la clé privée correspondante. Téléchargé sous forme de fichier unique, un groupement PFX contient tous les certificats nécessaires et la clé privée.

À propos des Fonctions du Certificat

Utilisation Générale — Sélectionnez cette option pour les certificats d'autorité de certification intermédiaire ou racine, les tunnels VPN, les serveurs Web et les autres certificats.

Autorité Proxy (certificat CA de resignature pour l'inspection de contenu sortant) — Sélectionnez cette option si le certificat est destiné à un certificat CA de resignature pour l'inspection de contenu sortant.

Serveur Proxy (certificat de serveur web pour l'inspection de contenu sortant) — Sélectionnez cette option si le certificat est destiné à un certificat de serveur pour l'inspection de contenu entrant.

Pour plus d'informations, consultez À propos des Certificats et Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS.

Importer un Certificat avec Firebox System Manager

  1. Ouvrez Firebox System Manager.
  2. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'ouvre.
  3. Cliquez sur Importer un certificat.
    L'assistant Certificate Import Wizard s'ouvre.

Capture d'écran de la première page d'importation de certificat dans FSM

  1. Cliquez sur Suivant.
  2. Sur la page Fonction du Certificat, choisissez l'option qui correspond à la fonction du certificat :

Capture d'écran de la page Fonction du Certificat de l'assistant d'importation de certificat de FSM

  1. Si vous avez choisi Serveur Proxy :
    • Pour en faire le certificat de serveur proxy par défaut, cochez la case Importer comme serveur proxy par défaut. Cela supprimera la possibilité de spécifier un Nom Complet du Certificat.

    Si vous importez un certificat destiné à l'inspection de contenu SMTP entrant, il doit être chargé en tant que certificat par défaut.

    • Saisissez le nom du certificat dans la zone de texte Nom Complet du Certificat. Choisissez un nom qui vous aidera à identifier ce certificat. Si le nom de certificat existe déjà et que vous souhaitez remplacer le certificat actuel, cochez l'option Remplacer si le certificat existe déjà.

  1. Cliquez sur Suivant.
  2. Dans la page Type de Certificat, sélectionnez le type de certificat certificat Base64 (PEM) ou fichier PFX.

Capture d'écran de la page de Type de l'assistant d'importation de certificat de FSM

Si vous avez sélectionné certificat Base64 (PEM), vous pouvez cliquer sur Parcourir et charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte.

Capture d'écran de la page Importer le certificat Base64 PEM de l'assistant d'importation de certificat de FSM

Si vous avez sélectionné le type de fichier PFX, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Choisir fichier et choisissez le fichier PFX à charger.

Capture d'écran de la page Importer fichier PFX de l'assistant d'importation de certificat de FSM

  1. Cliquez sur Suivant.
    Le certificat est ajouté au Firebox.

Capture d'écran de la dernière page de l'assistant d'importation de certificat dans FSM

  1. Cliquez sur Terminer.

Dans Fireware v12.2 ou version ultérieure, cliquez sur Importer certificat dans les boîtes de dialogue Fireware System Manager > Certificats, puis commencez avec l'étape nº5.

  1. Ouvrez Firebox System Manager.
  2. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'ouvre.
  3. Suivez les étapes pour demander une signature de certificat décrites dans Créer un Certificat CSR.
  4. Sur la dernière page de l'assistant, cliquez sur Importer maintenant.
    La boîte de dialogue Importer un Certificat s'ouvre.

Screen shot of the FSM import certificate dialog box

  1. Sélectionnez l'option qui correspond à la fonction du certificat :

  1. Si vous avez choisi Serveur Proxy :
    • Pour en faire le certificat de serveur proxy par défaut, cochez la case Importer comme serveur proxy par défaut. Cela supprimera la possibilité de spécifier un Nom Complet du Certificat.
    • Saisissez le nom du certificat dans la zone de texte Nom Complet du Certificat. Choisissez un nom qui vous aidera à identifier ce certificat. Si le nom de certificat existe déjà et que vous souhaitez remplacer le certificat actuel, cochez l'option Remplacer si le certificat existe déjà.

  1. Dans la liste déroulante Type de Certificat, sélectionnez le certificat Base64 (PEM) ou le type de fichier PFX.
  2. Si vous avez sélectionné certificat Base64 (PEM), vous pouvez charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte.

Screen shot of PEM certificate import in Firebox System Manager

Si vous avez sélectionné le type de fichier PFX, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Choisir fichier et choisissez le fichier PFX à charger.

Screen shot of Import PFX certificate file in Firebox System Manager

  1. Cliquez sur Importer un certificat.
    Le certificat est ajouté au Firebox.

Voir Également

À propos des Certificats

Créer un Certificat CSR

Gérer les certificats sur Management Server