À propos des Certificats
Les certificats font correspondre l'identité d'une personne ou d'une organisation à une méthode permettant aux tiers de vérifier cette identité et de sécuriser les communications. Ils utilisent une méthode de chiffrement appelée « paire de clés », qui se compose de deux nombres mathématiquement liés appelés clé privée et clé publique. Un certificat contient une déclaration d'identité et une clé publique ; il est signé par une clé privée.
La clé privée servant à signer le certificat peut provenir de la paire de clés utilisée pour générer le certificat ou d'une autre paire de clés. Si elle provient de la paire de clés utilisée pour créer le certificat, on obtient ce qu'on appelle un certificat autosigné. Si elle provient d'une autre paire de clés, on obtient un certificat ordinaire. Les certificats à clés privées qui permettent de signer d'autres certificats sont des Certificats d'Autorité de Certification. Une autorité de certification est une organisation ou application qui signe et révoque des certificats.
Si votre entreprise dispose d'une infrastructure à clé publique (PKI), vous pouvez signer vous-mêmes les certificats en tant qu'Autorité de Certification. La plupart des applications et des périphériques acceptent automatiquement les certificats des autorités approuvées les plus connues. Les certificats qui ne sont pas signés par des autorités reconnues, comme les certificats autosignés, ne sont pas acceptés automatiquement par un grand nombre de serveurs ou programmes et ne sont pas compatibles avec certaines fonctions de Firebox.
Utiliser plusieurs certificats pour établir la confiance
Plusieurs certificats peuvent être utilisés conjointement pour créer une chaîne de confiance. Par exemple, le certificat d'Autorité de Certification qui commence la chaîne provient d'une Autorité de Certification reconnue et sert à signer un autre certificat émis par une Autorité de Certification intermédiaire. Cette dernière peut alors signer un autre certificat d'Autorité de Certification qui est utilisé par votre organisation. Pour conclure, votre entreprise peut utiliser ce certificat d'Autorité de Certification avec la fonction d'inspection du contenu du proxy HTTPS et du proxy SMTP. Cependant, pour être en mesure d'utiliser le certificat au bout de la chaîne de confiance, vous devez d'abord importer tous les certificats de la chaîne dans l'ordre suivant :
- Le certificat d'autorité de certification d'une autorité reconnue ou d'une autorité locale (de type Utilisation Générale)
- Le certificat d'autorité de certification d'une autorité de certification intermédiaire le cas échéant (de type Utilisation Générale)
- Certificat signé pour l'inspection du contenu de proxy (de type Autorité de Proxy pour le trafic sortant, de type Serveur Proxy pour le trafic entrant)
Il peut également s'avérer nécessaire d'importer l'ensemble de ces certificats sur chaque périphérique client afin que le dernier certificat soit lui aussi approuvé par les utilisateurs.
Les chaînes de certificats peuvent contenir tous ou certains de ces types de certificats en fonction de ce qui est requis. Par exemple, votre chaîne de certificats peut ne pas contenir de certificat d'autorité de certification intermédiaire ou de certificat local.
Comment le Périphérique Firebox Utilise-t-il les Certificats ?
Votre Firebox peut utiliser des certificats à des fins diverses :
- Les données des sessions de gestion du Firebox sont sécurisées par un certificat.
- Les tunnels Branch Office VPN, Mobile VPN with IPSec, Mobile VPN with L2TP et Mobile VPN with IKEv2 peuvent utiliser des certificats pour l'authentification.
- Quand l'inspection de contenu est activée pour le trafic sortant HTTPS ou SMTP, POP3 ou IMAP par TLS, ces proxies utilisent un certificat pour chiffrer à nouveau le trafic après l'avoir déchiffré pour l'inspection. Le certificat de resignature peut être soit le Certificat d'Autorité Proxy par défaut, soit un Certificat d'Autorité de Certification importé.
- Vous pouvez utiliser un certificat avec le proxy HTTPS entrant afin de protéger un serveur Web de votre réseau.
- Vous pouvez utiliser le certificat de Serveur proxy par défaut à cette fin ou choisir un certificat différent à utiliser pour chaque proxy.
- Ceci vous permet d'héberger plusieurs applications et serveurs Web publics différents derrière un seul Firebox et d'autoriser plusieurs applications à utiliser des certificats différents.
- Quand l'inspection de contenu est activée pour le trafic entrant SMTP, POP3 ou IMAP par TLS, le proxy utilise un certificat pour chiffrer à nouveau le trafic après l'avoir déchiffré pour l'inspection. Vous pouvez utiliser le certificat de Serveur Proxy par défaut à cette fin.
- Lorsqu'un utilisateur s'authentifie sur le Firebox quelle qu'en soit la raison, par exemple pour contourner WebBlocker, la connexion est sécurisée à l'aide d'un certificat.
- Lorsque l'authentification RADIUS ou Firebox est configurée pour utiliser les méthodes d'authentification WPA Enterprise ou WPA2 Enterprise.
Étant donné que ces certificats n'ont pas été signés par une autorité de certification approuvée, un avertissement s'affiche sur les navigateurs Web des utilisateurs de votre réseau.
Trois options sont à votre disposition pour supprimer cet avertissement :
- Vous pouvez importer des certificats signés par une autorité de certification en laquelle votre organisation a confiance (par exemple une infrastructure à clé publique (PKI) déjà configurée pour votre organisation) afin d'utiliser ces fonctionnalités. Nous vous recommandons cette option, dans la mesure du possible.
- Vous pouvez créer un certificat autosigné personnalisé correspondant au nom et au site de votre organisation.
- Vous pouvez utiliser le certificat autosigné par défaut.
Pour les deux dernières options, vous pouvez demander aux clients réseau d'accepter ces certificats autosignés manuellement lorsqu'ils se connectent au Firebox. Vous pouvez également exporter les certificats et les distribuer avec les outils de gestion de réseau.
Pour plus d'informations sur l'exportation des certificats, voir Exporter un Certificat à Partir de Votre Firebox.
Pour plus d'informations sur l'importation du certificat sur un client, voir Importer un Certificat sur un Client Périphérique.
Pour plus d'informations sur la manière de télécharger et importer le certificat à partir du Portail de Certificats sur le Firebox, consultez Portail de Certificats.
Remplacer ou Supprimer des Certificats
Lorsque vous importez un certificat, le certificat existant est remplacé. À de rares occasions, vous devrez peut-être supprimer manuellement un certificat pour les raisons suivantes :
- Une demande de signature de certificat (CSR) est en attente et n'aboutira pas
- Un certificat a expiré
- Un certificat d'autorité de certification existe sur un serveur local qui n'est plus utilisé
Ne supprimez pas un certificat de votre Firebox à moins que vous ne prévoyez de le remplacer. Si vous supprimez un certificat et que vous ne le remplacez pas, le Firebox remplacera automatiquement le certificat manquant par un certificat par défaut quand il redémarrera. Si vous supprimez un certificat d'Autorité de Certification approuvé pour les proxys, certains services de sécurité peuvent ne pas fonctionner.
Durée de vie des certificats et listes de révocation de certificats (CRL)
Chaque certificat a une durée de vie déterminée au moment de sa création. Lorsqu'il arrive au terme de cette durée de vie, le certificat expire et ne peut plus être utilisé automatiquement. Vous pouvez également supprimer manuellement les certificats avec Firebox System Manager.
Si vous utilisez un certificat pour l'authentification, il est important de suivre l'expiration des certificats. Cela permet d'éviter les perturbations dans les services critiques tels que le VPN.
Parfois, des certificats sont révoqués ou désactivés par l'autorité de certification avant l'expiration de leur durée de vie. Votre Firebox conserve une liste à jour de ces certificats révoqués, appelée Liste de Révocation de Certificats, pour vérifier la validité des certificats utilisés pour l'authentification VPN. Si le gestionnaire WatchGuard System Manager est installé, cette liste peut être mise à jour manuellement à partir de Firebox System Manager, ou automatiquement à partir des informations d'un certificat. Chaque certificat comprend un numéro unique permettant de l'identifier. Si le numéro unique d'un certificat de serveur Web, BOVPN, Mobile VPN with IPSec, Mobile VPN with L2TP or Mobile VPN with IKEv2 correspond à un identifiant de la liste de révocation associée, le Firebox désactive le certificat.
Quand l'inspection de contenu est activée sur un proxy, le Firebox peut interroger le programme de réponse du protocole OCSP (Protocole de Vérification en Ligne de l'État du Certificat) associé aux certificats utilisés pour signer le contenu. Le programme de réponse OCSP envoie l'état de révocation du certificat. Le Firebox accepte cette réponse de l'OCSP si elle est signée par un certificat qu'il a approuvé. Si la réponse de l'OCSP n'est pas signée par un certificat de confiance du Firebox, ou si le programme n'envoie pas de réponse, vous pouvez configurer le Firebox de sorte qu'il accepte ou rejette le certificat d'origine.
Pour plus d'informations sur les options du protocole OCSP, voir Proxy HTTPS : inspection du contenu.
Autorités de certification et demandes de signatures
Pour créer un certificat autosigné, vous mettez une partie d'une paire de clés cryptographique dans une demande de signature de certificat que vous envoyez à une autorité de certification. Il est important d'utiliser une nouvelle paire de clés pour chaque demande de signature que vous créez. Sur réception de la demande, l'autorité de certification vérifie votre identité et émet un certificat. Si les logiciels FSM ou Management Server sont installés, vous pouvez utiliser ces programmes pour créer une Demande de Signature de Certificat pour votre Firebox. Vous pouvez aussi utiliser d'autres outils, comme OpenSSL ou le serveur d'autorité de certification de Microsoft, livré avec tous les systèmes d'exploitation Windows Server.
Nous vous recommandons d'utiliser un logiciel tiers pour générer le CSR. Ceci permet d'utiliser le certificat sur un autre Firebox si vous le mettez à niveau vers un modèle plus récent, migrez vers un autre Firebox, ou renvoyez le Firebox pour un remplacement RMA.
Pour créer un certificat à utiliser avec la fonction d'inspection de contenu par proxy HTTPS, vous devez créer un certificat d'autorité de certification qui pourra à son tour signer d'autres certificats. Si vous créez une Demande de Signature de Certificat (CSR) et que vous la faites signer par une Autorité de Certification reconnue, elle ne pourra pas être utilisée comme certificat d'Autorité de Certification pouvant à son tour signer des certificats pour l'inspection des contenus.
Pour une inspection de contenu SMTP TLS entrant, vous pouvez utiliser le certificat de Serveur proxy autosigné par défaut. Si vous voulez que les entités externes puissent valider votre domaine, utilisez un certificat public signé.
Si votre entreprise ne dispose pas d'infrastructure à clé publique (PKI), nous vous recommandons de choisir une Autorité de Certification reconnue pour signer les Demandes de Signature de Certificat que vous utilisez, à l'exception du certificat d'Autorité de Proxy. Si une autorité de certification reconnue signe vos certificats, ceux-ci sont automatiquement approuvés par la majorité des utilisateurs. Vous pouvez aussi importer d'autres certificats afin que votre Firebox approuve d'autres Autorités de Certification.
Pour obtenir une liste exhaustive des Autorités de Certification approuvées, voir Autorités de Certification Approuvées par le Périphérique.
Dans le gestionnaire WatchGuard System Manager, le serveur Management Server fonctionne également en tant qu'autorité de certification. L'Autorité de Certification transmet des certificats aux Fireboxes gérés lorsqu'ils contactent le Management Server pour recevoir des mises à jour de configuration.
Pour plus d'informations, consultez Configurer l'autorité de certification sur Management Server.
Voir Également
Créer une demande de Certificat signée avec OpenSSL
Importer un Certificat sur un Client Périphérique
Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS
Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN)
Certificats pour l'Authentification des Tunnels Mobile VPN with IKEv2
Certificats pour l'Authentification des Tunnels Mobile VPN with IPSec (Web UI)
Certificats pour l'Authentification des Tunnels Mobile VPN with IPSec (WSM)
Certificats pour l'Authentification des Tunnels Mobile VPN with L2TP
Gérer les Certificats de Périphérique (WSM)