À propos des Certificats Elliptic Curve Digital Signature Algorithm (ECDSA)
Avec le Fireware v12.3 U1 ou version ultérieure, le Firebox prend en charge les certificats ECDSA (Elliptic Curve Digital Signature Algorithm). Par rapport au RSA, les certificats ECDSA offrent un niveau de sécurité équivalent, des clés plus petites et une efficacité accrue. Dans certains pays, les gouvernements exigent des certificats ECDSA pour la conformité à la réglementation.
Dans Fireware v12.6.2 ou les versions ultérieures, le Firebox prend en charge la création d'une demande de signature de certificat (CSR) avec ECDSA. Pour les versions antérieures à Fireware v12.6.2, vous devez importer des certificats EC. Le Firebox ne génère pas les demandes de signature de certificats EC. Pour importer un certificat, consultez Gérer les Certificats de Périphérique (Web UI) ou Gérer les Certificats de Périphérique (WSM).
Avec le Fireware v12.4.1 ou inférieur, le Firebox ne prend pas en charge les certificats EC pour BOVPN, les interfaces virtuelles BOVPN ou Mobile VPN with IKEv2.
Certificats EC pour les Interfaces Virtuelles BOVPN et BOVPN
Dans Fireware v12.5 ou version ultérieure, vous pouvez spécifier un certificat ECDSA pour une interface virtuelle BOVPN ou BOVPN. Les certificats ECDSA sont également connus sous le nom de certificats EC. Si un pair du BOVPN utilise un certificat EC, l'autre pair doit utiliser un certificat EC. Les pairs du BOVPN peuvent avoir des certificats EC avec différentes courbes elliptiques.
Tunnels IKEv1
Pour les tunnels BOVPN avec IKEv1, le pair qui initie la connexion VPN détermine la méthode d'authentification. Le certificat EC détermine l'algorithme de hachage. Par exemple, si vous sélectionnez SHA256-AES256-DH14 comme transformation de phase 1 et que vous spécifiez un certificat ECDSA-384, l'algorithme de hachage est SHA384 au lieu de SHA256.
Tunnels IKEv2
Pour les tunnels BOVPN avec IKEv2, chaque pair détermine sa propre méthode d'authentification en fonction du certificat EC, ce qui signifie qu'ils peuvent utiliser différentes méthodes d'authentification.
Le Firebox ne prend en charge que ces courbes elliptiques pour les interfaces virtuelles BOVPN et BOVPN :
- Prime256v1
- Secp384r1
- Secp521r1
Pour spécifier un certificat EC pour une interface virtuelle BOVPN ou BOVPN, consultez Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN).
Certificats EC pour les Mobile VPN with IKEv2
Dans Fireware v12.5 ou version ultérieure, le Firebox prend en charge les certificats EC pour les Mobile VPN with IKEv2. Votre client IKEv2 doit également prendre en charge les certificats EC. La prise en charge varie en fonction du système d'exploitation :
- Windows 10 — Prise en charge partielle (ECDSA-256 et ECDSA-384 uniquement)
- Android — Prise en charge de strongSwan, un client open-source
- macOS et iOS — Pas pris en charge
Le Firebox ne supporte que ces courbes elliptiques pour le Mobile VPN with IKEv2 :
- Prime256v1
- Secp384r1
- Secp521r1
Pour spécifier un certificat EC sur la configuration Mobile VPN with IKEv2 du Firebox, voir Modifier la Configuration Mobile VPN with IKEv2.