Contents

Rubriques Connexes

Gérer les Certificats de Périphérique (WSM)

Dans Firebox System Manager, vous pouvez :

  • Afficher une liste des certificats actuels du Firebox et leurs propriétés.
  • Mettre à jour les certificats d'Autorité de Certification approuvée.
  • Supprimer un certificat du périphérique.
  • créer une demande de signature de certificat ;
  • importer un certificat ou une liste de révocation de certificats (CRL) ;
  • Exportez un certificat afin de le faire signer ou de le distribuer.

Lorsque vous importez, mettez à jour ou supprimez un certificat sur un membre du FireCluster, la modification se synchronise automatiquement avec l'autre membre du FireCluster. Vous n'avez pas besoin d'importer des certificats différents pour les membres du FireCluster.

Consulter les certificats actuels

Pour afficher la liste actuelle des certificats :

  1. Ouvrez Firebox System Manager.
  2. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'affiche.

Dans cette boîte de dialogue, vous pouvez consulter la liste de tous les certificats et de toutes les demandes de signature de certificats. Cette liste comprend :

  • l'état et le type du certificat ;
  • l'algorithme utilisé par le certificat ;
  • le nom de l'objet ou l'identificateur du certificat.

Par défaut, les certificats d'Autorité de Certification approuvée ne figurent pas sur la liste. Vous pouvez choisir d'afficher tous les certificats des autorités de certification approuvées.

  1. Pour afficher l'ensemble des certificats des Autorités de Certification approuvées, cochez la case Afficher les Autorités de Certification Approuvées pour les Proxies.
  2. Pour masquer à nouveau les certificats des autorités de certification approuvées, décochez la case Afficher les autorités de certification approuvées pour les proxies.
  3. Pour afficher des informations supplémentaires sur un certificat de la liste, sélectionnez-le et cliquez sur Détails.
    La boîte de dialogue Détails du certificat apparaît. Elle contient des informations sur l'autorité de certification qui a signé le certificat et sur l'empreinte du certificat. Vous pouvez utiliser ces informations à des fins de dépannage ou pour identifier les certificats de façon unique.

Mettre à jour les Certificats d'Autorité de Certification Approuvée.

Votre Firebox peut obtenir automatiquement de nouvelles versions des certificats d'Autorité de Certification Approuvée stockées sur le périphérique et les installer. Cette mise à jour vous permet de disposer des versions les plus récentes pour tous les certificats d'autorité de certification approuvée sur votre périphérique. Tous les certificats périmés sont mis à jour et de nouveaux certificats d'autorité de certification approuvée sont ajoutés à votre périphérique. Les certificats mis à jour sont téléchargés depuis un serveur sécurisé de WatchGuard. Le périphérique recherche les mises à jour toutes les 48 heures.

Pour activer les mises à jour automatiques :

  1. Dans Policy Manager, sélectionnez Configurer > Certificats.
  2. Cochez la case Activer les mises à jour automatiques des certificats d'autorité de certification.
  3. Cliquez sur OK.

Supprimer un certificat

Lorsque vous supprimez un certificat, il ne peut plus être utilisé pour l'authentification. Si vous supprimez un des certificats générés automatiquement, tel que le certificat autosigné que le proxy utilise par défaut, votre Firebox crée un nouveau certificat autosigné à cette fin lors de son prochain démarrage. Le périphérique ne crée pas un nouveau certificat autosigné automatiquement si vous avez importé un autre certificat.

Le certificat de l'Autorité Proxy ne doit pas être supprimé, s’il l'est, il devra être remplacé. Si le Firebox est redémarré, il remplace automatiquement le certificat manquant par un certificat par défaut.

Pour supprimer un certificat du périphérique :

  1. Sélectionnez le certificat dans la boîte de dialogue Certificats.
  2. Cliquez sur Supprimer.
    La boîte de dialogue Supprimer un certificat s'affiche.
  3. Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification pour un compte d'utilisateur avec les privilèges Administrateur de Périphérique (lecture/écriture).
  4. Cliquez sur OK.
    Le certificat est supprimé.

Importer une liste de révocation de certificats (CRL) à partir d'un fichier

Vous pouvez importer une liste de révocation de certificats (CRL) que vous avez précédemment téléchargée sur votre ordinateur local. Les Listes de Révocation de Certificats (CRL) servent uniquement à vérifier l'état des certificats utilisés pour l'authentification VPN. Les certificats doivent être encodés au format PEM (base 64).

  1. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'affiche.
  2. Cliquez sur Importer un certificat/une liste de révocation de certificats.
  3. Sélectionnez l'onglet Importer une CRL.
  1. Cliquez sur Parcourir et cherchez le fichier.
  2. Cliquez sur Importer la CRL.
    La boîte de dialogue Importer la CRL s'affiche.
  3. Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification pour un compte d'utilisateur avec les privilèges Administrateur de Périphérique (lecture/écriture).
  4. Cliquez sur OK.
    La Liste de Révocation de Certificats (CRL) que vous avez indiquée est ajoutée à celle de votre périphérique.

Importer un certificat à partir d'un fichier

Vous pouvez importer un certificat depuis le presse-papiers de Windows ou depuis un fichier de votre ordinateur local. Les certificats doivent être au format encodé base64 PEM ou fichier PFX.

Avant d'importer un certificat à utiliser avec la fonctionnalité d'inspection de contenu du proxy, vous devez importer chaque certificat le précédant dans la chaîne de confiance avec le type Autre. Commencez avec le certificat d'Autorité de Certification racine et allez jusqu'au certificat d'entité finale, dans cet ordre.

Pour importer un certificat d'Autorité de Certification sur votre Firebox, ce qui lui permettra de valider d'autres certificats lors de leur importation et créer ainsi une chaîne de confiance, veillez à sélectionner la catégorie IPSec, serveur Web, Autre lors de l'importation et n'incluez pas la clé privée.

À Propos des Fichiers PFX

Un lot de certificats PFX contient tous les certificats requis et la clé privée, il est chargé en tant que fichier unique.

Pour utiliser un lot de certificats PFX pour l'inspection du contenu HTTPS, vous devez disposer de deux fichiers PFX :

  1. Le premier fichier PFX de l'autorité de proxy doit disposer du certificat d'Autorité de Certification racine qui a émis le certificat de l'autorité de proxy et du certificat de l'autorité de proxy avec sa clé privée.
  2. Le second fichier PFX du serveur proxy doit disposer du certificat de l'autorité de proxy et du certificat du serveur proxy avec sa clé privée.

Pour plus d'informations, voir À propos des certificats et Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS.

Importer un Certificat

Pour importer un fichier de certificat :

  1. Sélectionnez Affichage > Certificats.
    La boîte de dialogue Certificats s'affiche.
  2. Cliquez sur Importer un certificat/une liste de révocation de certificats.
  1. Dans la liste déroulante Type de Certificat, sélectionnez le certificat Base64 (PEM) ou le type de fichier PFX.
  2.  Sélectionnez l'option qui correspond à la fonction du certificat :
    • Autorité de Proxy (re-signer le certificat d'autorité de certification pour l'inspection du contenu sortant SSL/TLS)— Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs de réseaux approuvés ou facultatifs depuis le serveur Web sur un réseau externe. Le certificat que vous importez à cet effet doit être un certificat d'Autorité de Certification. Vérifiez que vous avez importé le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Autre avant d'importer le certificat d'Autorité de Certification permettant de chiffrer à nouveau le trafic sur le proxy.
    • Serveur Proxy (certificat de serveur pour l'inspection du contenu entrant SSL/TLS) — Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs d'un réseau externe depuis un serveur Web protégé par le périphérique. Vérifiez que vous avez importé le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Autre avant d'importer le certificat d'Autorité de Certification permettant de chiffrer à nouveau le trafic provenant d'un serveur Web.
    • Autorité de Certification Approuvée pour les Proxies— Sélectionnez cette option si un certificat utilisé pour approuver le trafic n'est pas à nouveau chiffré par le proxy, notamment le certificat racine ou le certificat d'Autorité de Certification intermédiaire permettant de signer le certificat d'un serveur Web externe.
    • IPSec, Serveur Web, Autre — Sélectionnez cette option si :
      • Le certificat est destiné à l'authentification, est un certificat IPSec de périphérique ou est un certificat d'autorité de certification.
      • Vous voulez importer un certificat d'Autorité de Certification pour votre périphérique qui permettra de valider d'autres certificats lors de leur importation et de créer une chaîne de confiance. Assurez-vous de ne pas inclure la clé privée lors de l'importation du certificat d'Autorité de Certification.
  3. Si vous avez sélectionné certificat Base64 (PEM) pour le Type de Certificat, vous pouvez charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte. Si le fichier contient une clé privée, entrez le mot de passe permettant de déchiffrer la clé.

Si vous avez sélectionné fichier PFX pour le Type de Certificat, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Parcourir et choisissez le fichier PFX à charger.

  1. Cliquez sur Importer un certificat.
    Le certificat est ajouté au périphérique.

Exporter un certificat

Vous pouvez exporter un certificat afin de le faire signer par une autorité de certification approuvée ou de le distribuer aux clients de votre réseau.

  1. Sélectionnez Affichage > Certificats.
  2. Sélectionnez un certificat et cliquez sur Exporter.
  3. Sélectionnez un emplacement et entrez le nom du certificat.
    Il est enregistré au format PEM.

Voir aussi

À propos des certificats

Gérer les certificats sur Management Server

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.