Publicité
10. CERTIFICATS ET PKI
La PKI ou Public Key Infrastructure (infrastructure à clés publiques) est un système
cryptographique basé sur la cryptographie asymétrique. Elle utilise des mécanismes de
signature et certifie des clés publiques qui permettent, par exemple, de chiffrer et de signer des
messages ou des flux de données. Elle permet d'assurer confidentialité, authentification,
intégrité et non-répudiation.
La PKI Stormshield Network permet de générer ou d'importer des identités numériques
d'autorités de confiance (CA : Certification Authority, ou « autorité de certification »), de
serveurs ou d'utilisateurs. Elle permet également la signature de certificats, ceux-ci contenant
une clé publique associée à des informations pouvant appartenir à un utilisateur, un serveur
etc. La PKI Stormshield Network a pour objectif d'authentifier ces éléments.
Dans la suite de ce manuel, le terme identité fait référence à la notion d'identité numérique.
Pour l'utilisation de la fonctionnalité VPN SSL, l'autorité de certification « sslvpn-full-default-
authority » comprend une identité serveur « openvpnserver » ainsi qu'une identité utilisateur
« openvpnclient ». Cela permet au client et au service VPN SSL du firewall Stormshield Network
de s'identifier mutuellement sans avoir recours à une autorité externe.
Lorsque le firewall dispose d'un module TPM (Trusted Platform Module) destiné à stocker de
manière sécurisée les certificats, les clés, les fichiers de sauvegarde de configuration... et que
ce TPM n'a pas été initialisé (que son mot de passe d'administration n'a pas encore été créé),
une fenêtre d'initialisation du TPM est affichée à l'ouverture du module Certificats et PKI. Pour
plus d'informations concernant le module TPM, veuillez consulter la section
Module
(TPM).
L'écran du module Certificats et PKI se divise en 3 parties :
En haut de l'écran, les différentes actions possibles sous formes d'une barre de recherche
l
et de boutons,
A gauche, la liste des autorités, des identités et des certificats,
l
A droite, les détails concernant l'autorité, l'identité ou le certificat sélectionné au préalable
l
dans la liste de gauche, ainsi que les informations concernant la liste de révocation de
certificats (CRL - Certificate Revocation List) et la configuration de l'autorité ou de la sous-
autorité.
L'indicateur de santé du firewall (affiché dans le bandeau supérieur de l'Interface Web
d'Administration en cas d'anomalie) dispose de sondes relatives aux dates de validité et à l'état
des certificats et des CRL des autorités de certifications utilisées dans la configuration. La
couleur de l'indicateur précise un état :
Pour les certificats :
l
o
Critique
o
Non critique
validité n'est pas encore atteinte,
o
Optimum
Pour les CRL :
l l
o
Critique
o
Non critique
moitié de sa durée de vie,
o
Optimum
Page 76/524
: le certificat est révoqué (par une autorité de certification) ou expiré,
: le certificat va expirer dans moins de 30 jours ou sa date de début de
: le certificat ne présente aucun caractère critique.
: la CRL de la CA est expirée,
: la CRL de la CA va expirer dans moins de 5 jours ou a atteint plus de la
: la CRL ne présente aucun caractère critique.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
10. CERTIFICATS ET PKI
Trusted Platform
Publicité
