Gérer les certificats sur Management Server
Pour afficher et achever toutes les tâches de gestion des certificats sur votre Management Server, vous pouvez utiliser l'outil du WatchGuard WebCenter, le CA Manager. Si vous voulez simplement afficher ou supprimer des certificats sur le Management Server, vous pouvez aussi utiliser l'outil de Maintenance de certificat dans WatchGuard System Manager.
Se Connecter à CA Manager
Vous pouvez lancer CA Manager depuis WatchGuard System Manager ou vous connecter à CA Manager directement dans votre navigateur Web.
Pour vous connecter à CA Manager depuis WSM :
- Ouvrez WatchGuard System Manager et connectez-vous à votre Management Server.
Pour cela, vous devez taper le mot de passe de configuration. - Sélectionnez l'onglet Gestion des Périphériques.
- Cliquez sur .
Sinon, sélectionnez Outils > CA Manager.
Pour vous connecter à CA Manager depuis un navigateur Web :
- À l'aide de votre navigateur, accédez à https://<Adresse IP de votre Management Server>:4130.
La page de connexion de WatchGuard WebCenter s'affiche. - Entrez vos informations d'identification utilisateur et cliquez sur Connexion.
WatchGuard WebCenter s'affiche. - Dans le menu de navigation de gauche, sélectionnez une option dans la section CA MANAGER.
Une fois connecté au CA Manager, vous pouvez afficher, générer, révoquer, rétablir, détruire, télécharger et publier des certificats pour votre Management Server et pour vos périphériques gérés.
Gérer les certificats actuels
Depuis CA Manager, vous pouvez rechercher les certificats sur votre Management Server par numéro de série, nom commun ou unité d'organisation. Vous pouvez révoquer, réinstaller ou détruire n'importe quel certificat de la liste. Lorsque vous révoquez un certificat, il est ajouté à la liste de révocation de certificats (CRL) et ne peut pas être utilisé à des fins d'authentification. Lorsque vous rétablissez un certificat, il est supprimé de la CRL et peut être utilisé à nouveau. Si vous supprimez ou détruisez un certificat, il n'est pas ajouté à la CRL mais il ne peut pas être utilisé à des fins d'authentification. La Liste de Révocation de Certificats est publiée sur chaque Firebox lorsque celui-ci se connecte au Management Server.
Pour gérer les certificats actuels pour vos Firebox et pour le Management Server :
- Sélectionnez CA MANAGER > Gérer.
La page Gérer s'affiche, avec la liste de tous les périphériques pour lesquels le Management Server a stocké des certificats.
- Suivez les instructions dans les sections suivantes pour gérer vos certificats.
Filtrer la liste des certificats
Vous pouvez filtrer la liste des certificats qui s'affichent sur la page Gérer pour trouver un certificat spécifique dans la liste.
Pour filtrer la liste des certificats :
- Dans la liste déroulante des filtres à gauche, sélectionnez une option de filtre :
- Numéro de Série
- Nom Commun
- Unité Organisationnelle
- Dans la zone de texte filtre, entrez le texte qui correspond aux options de filtre que vous avez sélectionné.
Par exemple, si vous avez sélectionné Numéro de Série, entrez le numéro de série qui apparaît dans la colonne Série pour le certificat que vous recherchez. - Dans la liste déroulante Filtre, sélectionnez une option :
- Tout
- Valide Uniquement
- Révoqué Uniquement
- Expiré Uniquement
- Cliquez sur Rechercher.
La liste des certificats est mise à jour pour inclure uniquement les certificats qui correspondent aux paramètres que vous avez spécifiés.
Modifier l'état du certificat
La liste des certificats comprend l'état de chacun des certificats gérés par votre autorité de certification Management Server. Depuis la page Gérer, vous pouvez révoquer, réinstaller ou détruire n'importe quel certificat de la liste. Par exemple, si vous avez plusieurs certificats qui ont été révoqués et que vous souhaitez réinstaller, vous pouvez sélectionner chacun de ces certificats et modifier en une seule fois l'état de tous les certificats sélectionnés.
Pour modifier l'état d'un ou plusieurs certificat(s) de la liste des certificats :
- Sélectionnez la case à cocher devant chaque certificat.
- Dans la liste déroulante Action, sélectionnez une action :
- Révoquer
- Rétablir
- Détruire
Lorsque vous avez terminé, le nouvel état du certificat apparaît dans la colonne État.
Vous pouvez aussi modifier l'état du certificat lorsque vous affichez toutes les données du certificat.
Depuis la liste des certificats :
- Double-cliquez sur le numéro dans la colonne Série pour le certificat.
La boîte de dialogue Afficher les données du certificat apparaît. - Cliquez sur le bouton pour achever l'action :
- Révoquer
- Rétablir
- Détruire
Afficher les certificats
Dans CA Manager, vous pouvez consulter les informations concernant les certificats d'Autorité de certification et de Management Server. Pour les autres certificats gérés par votre Management Server, vous pouvez aussi afficher tous les détails sur le certificat, qui comprennent des informations sur l'algorithme de la signature, l'émetteur et la clé publique.
Pour afficher le certificat (racine) de l'Autorité de certification et les certificats de l'Autorité de certification de Management Server :
- Depuis la section CA MANAGER, sélectionnez Afficher.
La page Afficher s'affiche avec le texte du Certificat d'Autorité de Certification et du Certificat d'Autorité de Certification de Management Server.
- Pour enregistrer le contenu de l'un ou l'autre des certificats, sélectionnez le texte du certificat et copiez-le dans un fichier sur votre ordinateur.
Pour afficher toutes les informations d'un certificat :
- Depuis la section CA MANAGER, sélectionnez Gérer.
La page Gérer s'affiche. - Dans la colonne Série pour le certificat, double-cliquez sur le numéro de série.
La boîte de dialogue Afficher les données du certificat apparaît.
Créer une nouvelle demande de certificat
Pour créer une nouvelle demande de signature de certificat :
- Dans la section CA MANAGER, sélectionnez Générer.
La page Générer un Nouveau Certificat s'affiche.
- Entrez la durée du certificat, le mot de passe et le nom commun de l'objet.
- Pour les utilisateurs de l'authentification Firebox, le nom commun doit correspondre aux informations d'identification du Firebox (habituellement, son adresse IP).
- Pour un certificat générique, le nom commun est le nom de l'utilisateur.
- Pour télécharger le certificat généré, activez la case à cocher Télécharger le certificat.
- Cliquez sur Générer.
Lorsque vous utilisez le Firebox System Manager pour créer une demande de signature de certificat, votre Firebox crée également une clé privée. Il est impossible d'exporter cette clé privée de votre périphérique. Si vous voulez utiliser le certificat de serveur pour un autre périphérique, vous aurez besoin de cette clé privée pour l'importer. Si vous cherchez une autre méthode pour créer une demande de signature de certificat et une clé privée, consultez Créer une demande de Certificat signée avec OpenSSL.
Pour plus d'informations sur la création des certificats, voir Créer un Certificat CSR.
Signer une demande de certificat
Vous pouvez aussi utiliser CA Manager pour signer une demande de certificat provenant d'un périphérique différent. Vérifiez que vous avez le nom commun et l'unité d'organisation du certificat avant de continuer.
Pour signer une demande de certificat :
- Depuis la section CA MANAGER, sélectionnez Charger.
La page Charger apparaît.
- Entrez le Nom commun et l'Unité d'organisation du certificat.
- Cliquez sur Parcourir pour localiser le fichier de Demande de signature de certificat.
- Cliquez sur Charger.
Publier la Liste de révocation de certificats
Dans CA Manager, vous pouvez mettre à disposition de chaque Firebox connecté à votre Management Server la Liste de Révocation de Certificats.
- Depuis la section CA MANAGER, sélectionnez Publier.
La page Publier s'affiche. - Cliquez sur Publier.
Si un périphérique Firebox géré essaie de valider le certificat la fois suivante, celui-ci sera désactivé. Si un certificat révoqué a été utilisé pour une authentification VPN, le tunnel VPN est désactivé.
Gérer les certificats depuis WatchGuard System Manager
Pour afficher les certificats utilisés par Management Server et supprimer ceux qui sont devenus inutiles :
- Ouvrez WatchGuard System Manager et connectez-vous au Management Server.
Pour cela, vous devez taper le mot de passe de configuration. - Sélectionnez Fichier > Certificats.
La boîte de dialogue Maintenance de Certificat affiche une liste des certificats utilisés par le Management Server.
- Pour supprimer un certificat, sélectionnez-le et cliquez sur Supprimer.
Si le certificat est utilisé par Management Server, vous devez d'abord vous déconnecter du serveur pour pouvoir le supprimer. - Cliquez sur OK.
Lorsque vous supprimez un certificat de Management Server, vous ne supprimez pas les certificats de Microsoft Internet Explorer.
Voir Également
Gérer les Certificats de Périphérique (WSM)