Gérer les Certificats de Périphérique (Web UI)
- Afficher une liste des certificats actuels du Firebox et leurs propriétés
- Mettre à jour les certificats d'Autorité de certification approuvés
- Supprimer un certificat du Firebox
- Importer un certificat ou une liste de révocation de certificats (CRL)
- Exporter un certificat afin de le faire signer ou de le distribuer
- Créer une demande de signature de certificat
- Configurer le certificat de serveur Web du Firebox
Lorsque vous importez, mettez à jour ou supprimez un certificat sur un membre du FireCluster, la modification se synchronise automatiquement avec l'autre membre du FireCluster. Vous n'avez pas besoin d'importer des certificats différents pour les membres du FireCluster.
Nous vous recommandons vivement de ne pas supprimer les certificats d'Autorité de Certification publics. Si vous supprimez un certificat d'Autorité de Certification approuvé pour les proxys, certains services de sécurité peuvent ne pas fonctionner.
Afficher les certificats
Pour afficher et gérer la liste actuelle des certificats, choisissez Système > Certificats.
Utilisez la liste déroulante pour filtrer l'affichage selon le type de certificat.
La liste Certificats contient :
- Le statut du certificat
- La date d'importation du certificat
- Le type de certificat
- L'algorithme utilisé par le certificat (EC, RSA, ou DSS)
- Le nom de l'objet ou l'identificateur du certificat
Pour voir un certificat, sélectionnez le certificat puis cliquez sur Détails.
À propos de l'État du Certificat
Signé — Le certificat est valide et peut être utilisé.
Révoqué — Le certificat a été révoqué via la Liste de Révocation des Certificats (CRL) par l'autorité de certification (CA) émettrice avant la date d'expiration.
Expiré — Le certificat a expiré.
Pas encore valide — La date de début de validité du certificat est ultérieure à la date du jour et ne correspond pas à la date et à l'heure du Firebox.
En attente — La demande de signature du certificat a été créée. Le certificat signé correspondant doit être téléchargé avant de pouvoir être utilisé.
Supprimer un Certificat
Lorsque vous supprimez un certificat, il ne peut plus être utilisé pour l'authentification. Si vous supprimez un des certificats générés automatiquement, tels que le certificat autosigné que le proxy utilise par défaut, votre Firebox crée un nouveau certificat autosigné à cette fin lors de son prochain démarrage. Le périphérique ne crée pas un nouveau certificat autosigné automatiquement si vous avez importé un autre certificat.
Le certificat de l'Autorité Proxy ne doit pas être supprimé. Le Firebox doit toujours avoir un certificat. Si le Firebox est redémarré, il remplace automatiquement le certificat manquant par un certificat par défaut.
Si vous supprimez un certificat d'Autorité de Certification approuvé pour les proxys, certains services de sécurité peuvent ne pas fonctionner.
Il est impossible de supprimer un certificat du Firebox s'il est utilisé dans une configuration de tunnel Branch Office VPN (BOVPN) IPSec.
Pour supprimer un certificat du périphérique :
- Sélectionnez Système > Certificats.
- Sélectionnez le certificat dans la boîte de dialogue Certificats.
- Cliquez sur Supprimer.
La boîte de dialogue Supprimer un Certificat s'ouvre. - Cliquez sur OK.
Le Certificat est supprimé.
Exporter un certificat
Vous pouvez exporter un certificat afin de le faire signer par une autorité de certification approuvée ou de le distribuer aux clients de votre réseau. Le certificat est enregistré au format PEM.
- Sélectionnez Système > Certificats.
- Sélectionnez un certificat et cliquez sur Exporter.
Mettre à jour les Certificats d'autorité de certification approuvés
Votre Firebox peut obtenir et installer automatiquement de nouvelles versions des certificats d'Autorité de Certification approuvée stockés sur le Firebox. Cette mise à jour vous permet de disposer des versions les plus récentes pour tous les certificats d'autorité de certification approuvée sur votre Firebox. Tous les certificats périmés sont mis à jour et de nouveaux certificats d'autorité de certification approuvée sont ajoutés à votre Firebox. Les certificats mis à jour sont téléchargés depuis un serveur sécurisé de WatchGuard. Le Firebox recherche des mises à jour toutes les 48 heures.
- Sélectionnez Système > Certificats.
- Cochez la case Activer les mises à jour automatiques des certificats d'Autorité de Certification.
- Cliquez sur Mettre à jour les certificats d'autorité de certification approuvée pour mettre à jour vos certificats d'Autorité de Certification approuvée immédiatement. Vous avez le choix entre les options suivantes :
- Télécharger la dernière version des certificats d'Autorité de certification approuvée
- Ajouter un certificat supplémentaire d'Autorité de certification approuvée (Base64 PEM)
Importer un Certificat
Vous pouvez importer un certificat depuis le presse-papiers de Windows ou depuis un fichier sur votre ordinateur local. Les certificats doivent être au format encodé base64 PEM ou fichier PFX.
Avant d'importer un certificat à utiliser avec la fonctionnalité d'inspection de contenu du proxy, vous devez importer chaque certificat le précédant dans la chaîne de confiance avec le type Utilisation Générale. Commencez par le certificat d'Autorité de Certification racine et allez jusqu'au dernier certificat de la chaîne de confiance, dans cet ordre.
Pour importer un certificat d'Autorité de Certification sur votre Firebox, ce qui lui permettra de valider d'autres certificats lors de leur importation et créer ainsi une chaîne de confiance, veillez à sélectionner la catégorie Utilisation Générale lors de l'importation et n'incluez pas la clé privée.
À Propos des Fichiers PFX
Un lot de certificats PFX contient tous les certificats requis et la clé privée, il est chargé en tant que fichier unique.
Pour utiliser un lot de certificats PFX pour l'inspection du contenu HTTPS, vous devez disposer de deux fichiers PFX :
- Le premier fichier PFX de l'autorité de proxy doit disposer du certificat d'Autorité de Certification racine qui a émis le certificat de l'autorité de proxy et du certificat de l'autorité de proxy avec sa clé privée.
- Le second fichier PFX du serveur proxy doit disposer du certificat CA racine qui a émis le certificat du serveur proxy et du certificat du serveur proxy avec sa clé privée.
À propos des Fonctions du Certificat
Utilisation Générale — Sélectionnez cette option pour les certificats d'autorité de certification intermédiaire ou racine, les tunnels VPN, les serveurs Web et les autres certificats.
Autorité de Proxy(resigner le certificat d'Autorité de Certification pour l'inspection du contenu sortant) — Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs de réseaux approuvés ou facultatifs depuis le serveur Web sur un réseau externe. Le certificat que vous importez à cet effet doit être un certificat d'autorité de certification. Avant d'importer le certificat d'Autorité de Certification permettant de chiffrer à nouveau le trafic avec un proxy, veillez à bien importer le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Utilisation générale.
Serveur Proxy(certificat de serveur pour l'inspection du contenu entrant) — Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs d'un réseau externe depuis un serveur Web protégé par le Firebox. Avant d'importer le certificat de serveur proxy permettant de chiffrer à nouveau le trafic d'un serveur Web, veillez à bien importer le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Utilisation générale.
Pour plus d'informations, consultez À propos des Certificats, Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS et Proxy SMTP : Chiffrement TLS.
Importer un Certificat avec Fireware Web UI
- Sélectionnez Système > Certificats.
La page Certificats s'ouvre. - Cliquez sur Importer un certificat.
L'assistant Import Certificate Wizard s'ouvre.
- Cliquez sur Suivant.
- Sur la page Fonction du Certificat, choisissez la fonction prévue pour le certificat.
-
Si vous avez choisi Serveur Proxy :
- Pour en faire le certificat de serveur proxy par défaut, cochez la case Importer comme serveur proxy par défaut. Cela supprimera la possibilité de spécifier un Nom Complet du Certificat.
- Saisissez le nom du certificat dans la zone de texte Nom Complet du Certificat. Choisissez un nom qui vous aidera à identifier ce certificat. Si le nom de certificat existe déjà et que vous souhaitez remplacer le certificat actuel, cochez l'option Remplacer si le certificat existe déjà.
- Cliquez sur Suivant.
- Sur la page de Type d'Importation, sélectionnez le type de certificat certificat Base64 (PEM) ou fichier PFX.
- Si vous avez sélectionné certificat Base64 (PEM), vous pouvez cliquer sur Parcourir pour choisir et charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte. Si le fichier contient une clé privée, entrez le mot de passe permettant de déchiffrer la clé.
Si vous avez sélectionné fichier PFX, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Parcourir et choisissez le fichier PFX à charger.
- Cliquez sur Suivant.
Le certificat est ajouté au Firebox.
- Cliquez sur Terminer.
- Suivez les étapes pour demander une signature de certificat décrites dans Créer un Certificat CSR.
- Sur la dernière page de l'assistant, cliquez sur Terminer et Importer.
La page du Certificat d'Importation s'ouvre. - Sélectionnez l'option qui correspond à la fonction du certificat :
-
Si vous avez choisi Serveur Proxy :
- Pour en faire le certificat de serveur proxy par défaut, cochez la case Importer comme serveur proxy par défaut. Cela supprimera la possibilité de spécifier un Nom Complet du Certificat.
- Saisissez le nom du certificat dans la zone de texte Nom Complet du Certificat. Choisissez un nom qui vous aidera à identifier ce certificat. Si le nom de certificat existe déjà et que vous souhaitez remplacer le certificat actuel, cochez l'option Remplacer si le certificat existe déjà.
-
Dans la liste déroulante Type de Certificat, sélectionnez le certificat Base64 (PEM) ou le type de fichier PFX.
Si vous avez sélectionné certificat Base64 (PEM), vous pouvez charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte. Si le fichier contient une clé privée, entrez le mot de passe permettant de déchiffrer la clé.
Si vous avez sélectionné le type de fichier PFX, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Choisir fichier et choisissez le fichier PFX à charger.
- Cliquez sur OK.
Le certificat est ajouté au Firebox.
Importer une CRL
Vous pouvez importer une liste de révocation de certificats (CRL) que vous avez précédemment téléchargée sur votre ordinateur local. Les CRL servent uniquement à vérifier l'état des certificats utilisés pour l'authentification VPN. Les certificats doivent être encodés au format PEM (base 64).
- Sélectionnez Système > Certificats.
- Cliquez sur Importer la CRL.
- Cliquez sur Parcourir et cherchez le fichier.
- Cliquez sur Importer.
La boîte de dialogue Importer la CRL s'ouvre. - Cliquez sur OK.
La Liste de Révocation de Certificats (CRL) que vous avez indiquée est ajoutée à celle de votre périphérique.
Créer une Demande de Signature de Certificat (CSR)
Vous pouvez créer une demande de signature de certificat (CSR) à partir de votre Firebox depuis la Web UI Fireware ou Firebox System Manager (FSM). Pour créer un certificat autosigné, vous mettez une partie d'une paire de clés cryptographiques dans une demande de signature de certificat que vous envoyez à une autorité de certification (CA). La CA reçoit la CSR, vérifie votre identité et émet un certificat.
Pour de plus amples informations sur la création d'une demande de signature de certificat, consultez Créer un Certificat CSR.
Configurer le certificat de serveur Web du Firebox
Le Firebox utilise un certificat de serveur Web par défaut pour les connexions d'utilisateurs au Firebox (connexions de gestion, par exemple).
Lorsque les utilisateurs se connectent à votre Firebox avec un navigateur Web, ils voient parfois apparaître un avertissement de sécurité. Cet avertissement se produit parce que le certificat par défaut n'est pas approuvé ou que le certificat ne correspond pas à l'adresse IP ou au nom de domaine utilisé pour l'authentification. Pour configurer le certificat de serveur Web du Firebox, consultez Configurer le Certificat de Serveur Web pour l'Authentification de Firebox.
Vous pouvez aussi utiliser un certificat tiers ou autosigné qui correspond à l'adresse IP ou au nom de domaine utilisés pour l'authentification des utilisateurs. Vous devez importer ce certificat sur chaque périphérique ou navigateur client pour éviter les avertissements de sécurité. Pour plus d'informations sur l'importation et l'installation d'un certificat de Serveur Web tiers, voir Importer et Installer un Certificat de Serveur Web tiers.
Voir Également
Configurer le Certificat de Serveur Web pour l'Authentification de Firebox
Certificats pour l'Authentification des Tunnels Mobile VPN with IPSec (Web UI)
Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN)