Lorsque les utilisateurs se connectent à votre Firebox avec un navigateur Web, ils voient parfois apparaître un avertissement de sécurité. Cet avertissement apparaît parce que le certificat par défaut du serveur Web n'est pas approuvé ou le certificat ne correspond pas à l'adresse IP ou au nom de domaine utilisés pour l'authentification. Vous pouvez remplacer le certificat par défaut du serveur Web par un certificat d'Autorité de Certification signé qui sera automatiquement approuvé par les navigateurs Web.
Si vous utilisez un certificat d'Autorité de Certification signé, vous devez importer ce certificat sur votre Firebox avant de le sélectionner en tant que certificat de serveur Web actuel. En général, ce certificat signé par une Autorité de Certification (CA) nécessite un ou plusieurs certificats racines et intermédiaires pour compléter la chaîne de confiance du certificat actuel. Ces certificats doivent être importés sur votre Firebox dans le bon ordre avant d'installer le nouveau certificat de serveur Web afin que la chaîne de confiance soit établie.
Pour importer et installer un nouveau certificat de serveur Web, vous devez suivre les étapes suivantes :
- Créez une Demande de Signature de Certificat (CSR) pour un nouveau certificat de serveur Web.
- Utilisez des CSR signées par une Autorité de Certification approuvée.
- Importez sur votre périphérique Firebox les certificats d'Autorité de Certification requis pour la chaîne de confiance de votre certificat signé.
- Importez le nouveau certificat signé du serveur Web sur le Firebox.
- Configurez le Firebox afin qu'il utilise le nouveau certificat du serveur Web.
Si vous créez un certificat avec un logiciel tiers, comme OpenSSL, le champ EKU du certificat doit être renseigné avec les valeurs pour l'Authentification Serveur Web TLS et l'Authentification Client Web TLS. Ces valeurs sont requises pour tout certificat de serveur web importé sur le Firebox. Un CSR généré sur le Firebox comprend automatiquement ces valeurs EKU.
Créer une Demande de Signature de Certificat (CSR)
Pour créer un certificat autosigné, vous ajoutez une partie d'une paire de clés cryptographiques dans une demande de signature de certificat (CSR) que vous envoyez à une autorité de certification. La CA reçoit la CSR, vérifie votre identité et émet un certificat.
Nous vous recommandons d'utiliser un logiciel tiers pour générer le CSR. Ceci permet d'utiliser le certificat sur un autre Firebox si vous le mettez à niveau vers un modèle plus récent, migrez vers un autre Firebox, ou renvoyez le Firebox pour un remplacement RMA.
Pour créer une demande de signature de certificat, consultez Créer un Certificat CSR.
Utilisez des CSR signées par une Autorité de Certification approuvée
Une Autorité de Certification (CA) signe et émet des certificats. Ces certificats signés par l'Autorité de Certification sont automatiquement approuvés par les navigateurs Web car ils émanent d'une source fiable.
Après la création de la CSR, vous devez envoyer la CSR à une Autorité de Certification approuvée pour signature. Lorsque vous recevez un certificat de Serveur Web signé pour votre Firebox, vous devez d'abord importer la chaine de certificats de l'Autorité de Certification dans votre Firebox pour établir la confiance puis importer votre certificat de Serveur Web Firebox.
Importer les Certificats d'Autorité de Certification sur votre Firebox
Vous devez importer sur votre Firebox les certificats d'Autorité de Certification requis pour la chaîne de confiance de votre nouveau certificat de Serveur Web signé.
Tout d'abord, vous devez télécharger la chaîne de certificats d'Autorité de Certification utilisée pour signer votre nouveau certificat de serveur Web. Cela comprend généralement un certificat racine et un ou plusieurs certificats intermédiaires. Votre Autorité de Certification dispose de plusieurs moyens pour télécharger ses certificats, y compris les fichiers PEM encodés en base 64 et les lots de fichiers de certificats PFX.
Lorsque vous importez ces certificats sur votre Firebox, ils doivent respecter le bon ordre pour établir la chaîne de confiance de certificats. Lisez les instructions de votre Autorité de Certification attentivement pour les certificats dont vous avez besoin. Importez d'abord le certificat d'Autorité de Certification Racine, puis installez les certificats intermédiaires.
Importez ces certificats avec le type de certificat Utilisation Générale.
Pour importer des certificats avec Firebox System Manager, consultez Gérer les Certificats de Périphérique (WSM).
Pour importer des certificats avec Fireware Web UI, consultez Gérer les Certificats de Périphérique (Web UI).
Importer le Nouveau Certificat Signé du Serveur Web sur votre Firebox
Après avoir importé les certificats d'Autorité de certification, vous pouvez importer le nouveau certificat de Serveur Web signé sur votre Firebox.
Pour importer le certificat de Serveur Web sur votre Firebox avec Firebox System Manager, consultez Gérer les Certificats de Périphérique (WSM).
Pour importer le certificat de Serveur Web sur votre Firebox avec Fireware Web UI, consultez Gérer les Certificats de Périphérique (Web UI).
Importez ce certificat avec le type de certificat Utilisation Générale.
Si l'importation est réussie, vous pouvez alors sélectionner ce nouveau certificat pour en faire le certificat du serveur Web de votre Firebox.
Sélectionner le Nouveau Certificat du Serveur Web
Pour sélectionner un nouveau certificat de Serveur Web, consultez Configurer le Certificat de Serveur Web pour l'Authentification de Firebox.
Assurez-vous d'utiliser l'option Certificat tiers et de choisir le nouveau certificat signé de Serveur Web.
Pour vérifier que votre Firebox répond correctement avec le nouveau certificat, rendez-vous à l'adresse : https://[nom ou Adresse IP du Firebox]/sslvpn.html
Voir Également
Gérer les Certificats de Périphérique (WSM)