Gérer les Certificats de Périphérique (Web UI)

Vous pouvez utiliser l'interface Fireware Web UI pour afficher et gérer les certificats de périphérique Firebox. Vous pouvez notamment :

• Afficher une liste des certificats de périphérique et leurs propriétés
• Mettre à jour les certificats d'Autorité de Certification Approuvée
• Supprimer un certificat du périphérique
• Importer un certificat ou une Liste de Révocation de Certificats (CRL)
• Exporter un certificat afin de le faire signer ou de le distribuer
• Créer une demande de signature de certificat
• Sélectionner un certificat de serveur Web pour l'authentification sur Firebox
• Sélectionner un certificat à utiliser avec un réseau BOVPN ou Mobile User

Lorsque vous importez, mettez à jour ou supprimez un certificat sur un membre du FireCluster, la modification se synchronise automatiquement avec l'autre membre du FireCluster. Vous n'avez pas besoin d'importer des certificats différents pour les membres du FireCluster.

Consulter les certificats actuels

Pour afficher la liste actuelle des certificats :

1. Sélectionnez Système > Certificats.
   La liste Certificats s'affiche avec l'ensemble des certificats et des demandes de signature de certificat.

La liste Certificats contient :

• l'état et le type du certificat ;
• l'algorithme utilisé par le certificat ;
• le nom de l'objet ou l'identificateur du certificat.

Pour voir un certificat, sélectionnez le certificat puis cliquez sur Détails.

Par défaut, les certificats d'Autorité de Certification Approuvée ne figurent pas sur la liste.

2. Pour afficher l'ensemble des certificats des autorités de certification approuvées, cochez la case Afficher les autorités de certification approuvées pour les proxies.
3. Pour masquer les certificats des autorités de certification approuvées, décochez la case Afficher les autorités de certification approuvées pour les proxies.

Supprimer un Certificat

Lorsque vous supprimez un certificat, il ne peut plus être utilisé pour l'authentification. Si vous supprimez un des certificats générés automatiquement, tels que le certificat autosigné que le proxy utilise par défaut, votre Firebox crée un nouveau certificat autosigné à cette fin lors de son prochain démarrage. Le périphérique ne crée pas un nouveau certificat autosigné automatiquement si vous avez importé un autre certificat.

Le certificat de l'Autorité Proxy ne doit pas être supprimé, s’il l'est, il devra être remplacé. Si le Firebox est redémarré, il remplace automatiquement le certificat manquant par un certificat par défaut.

Pour supprimer un certificat du périphérique :

1. Sélectionnez le certificat dans la boîte de dialogue Certificats.
2. Cliquez sur Supprimer.
   La boîte de dialogue Supprimer un certificat s'affiche.
3. Cliquez sur OK.
   Le certificat est supprimé.

Mettre à jour les Certificats d'Autorité de Certification Approuvée.

Votre Firebox peut obtenir automatiquement de nouvelles versions des certificats d'Autorité de Certification Approuvée stockées sur le périphérique et les installer. Cette mise à jour vous permet de disposer des versions les plus récentes pour tous les certificats d'autorité de certification approuvée sur votre périphérique. Tous les certificats périmés sont mis à jour et de nouveaux certificats d'autorité de certification approuvée sont ajoutés à votre périphérique. Les certificats mis à jour sont téléchargés depuis un serveur sécurisé de WatchGuard. Le périphérique recherche les mises à jour toutes les 48 heures.

Pour activer les mises à jour automatiques, cochez la case Activer les mises à jour automatiques des certificats d'Autorité de Certification.

Cliquez sur Mettre à jour Maintenant pour mettre à jour vos certificats d'Autorité de Certification immédiatement.

Importer un certificat à partir d'un fichier

Vous pouvez importer un certificat depuis le presse-papiers de Windows ou depuis un fichier sur votre ordinateur local. Les certificats doivent être au format encodé base64 PEM ou fichier PFX.

Avant d'importer un certificat à utiliser avec la fonctionnalité d'inspection de contenu du proxy, vous devez importer chaque certificat le précédant dans la chaîne de confiance avec le type Autre. Commencez avec le certificat d'Autorité de Certification racine et allez jusqu'au certificat d'entité finale, dans cet ordre.

Pour importer un certificat d'Autorité de Certification sur votre Firebox, ce qui lui permettra de valider d'autres certificats lors de leur importation et créer ainsi une chaîne de confiance, veillez à sélectionner la catégorie IPSec, serveur Web, Autre lors de l'importation et n'incluez pas la clé privée.

À Propos des Fichiers PFX

Un lot de certificats PFX contient tous les certificats requis et la clé privée, il est chargé en tant que fichier unique.

Pour utiliser un lot de certificats PFX pour l'inspection du contenu HTTPS, vous devez disposer de deux fichiers PFX :

1. Le premier fichier PFX de l'autorité de proxy doit disposer du certificat d'Autorité de Certification racine qui a émis le certificat de l'autorité de proxy et du certificat de l'autorité de proxy avec sa clé privée.
2. Le second fichier PFX du serveur proxy doit disposer du certificat de l'autorité de proxy et du certificat du serveur proxy avec sa clé privée.

Pour plus d'informations, voir À propos des certificats, Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS, et SMTP-Proxy : chiffrement TLS.

Importer un Certificat

Pour importer un fichier de certificat :

1. Sélectionnez Système > Certificats.
   La page Certificats s'ouvre.
2. Cliquez sur Importer un certificat/une liste de révocation de certificats.
3. Sélectionnez l'onglet Importer un Certificat.

4. Dans la liste déroulante Type de Certificat, sélectionnez le certificat Base64 (PEM) ou le type de fichier PFX.
5. Sélectionnez l'option qui correspond à la fonction du certificat :
   • Autorité de Proxy (re-signer le certificat d'Autorité de Certification pour l'inspection du contenu sortant SSL/TLS)— Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs de réseaux approuvés ou facultatifs depuis le serveur Web sur un réseau externe. Le certificat que vous importez à cet effet doit être un certificat d'Autorité de Certification. Avant d'importer le certificat d'Autorité de Certification permettant de chiffrer à nouveau le trafic avec un proxy, veillez à bien importer le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Autre.
   • Serveur Proxy (certificat de serveur pour l'inspection du contenu entrant SSL/TLS) — Sélectionnez cette option si le certificat est destiné à une stratégie de proxy qui gère le trafic Web demandé par les utilisateurs d'un réseau externe depuis un serveur Web protégé par le périphérique. Avant d'importer le certificat d'Autorité de Certification permettant de chiffrer à nouveau le trafic d'un serveur Web, veillez à bien importer le certificat d'Autorité de Certification utilisé pour signer ce certificat dans la catégorie Autre.
   • Autorité de Certification Approuvée pour les Proxies — Sélectionnez cette option pour les certificats utilisés pour approuver le trafic qui n'est pas de nouveau chiffré par un proxy. par exemple un certificat racine ou un certificat d'autorité de certification intermédiaire permettant de signer le certificat d'un serveur Web externe.
   • IPSec, Serveur Web, Autre — Sélectionnez cette option si :
     • Le certificat est destiné à l'authentification, est un certificat IPSec de périphérique ou est un certificat d'autorité de certification.
     • Vous voulez importer un certificat d'Autorité de Certification pour votre Firebox qui permettra de valider d'autres certificats lors de leur importation et de créer une chaîne de confiance. Assurez-vous de ne pas inclure la clé privée lors de l'importation du certificat d'Autorité de Certification.
6. Si vous avez sélectionné certificat Base64 (PEM) pour le Type de Certificat, vous pouvez charger le certificat à partir d'un fichier, ou faire un copier/coller du contenu du certificat PEM dans la zone de texte. Si le fichier contient une clé privée, entrez le mot de passe permettant de déchiffrer la clé.

Si vous avez sélectionné fichier PFX pour le Type de Certificat, saisissez le Mot de Passe du Fichier PFX, puis cliquez sur Parcourir et choisissez le fichier PFX à charger.

7. Cliquez sur Sauvegarder.
   Le certificat est ajouté au Firebox.

Importer une liste de révocation de certificats (CRL) à partir d'un fichier

Vous pouvez importer une liste de révocation de certificats (CRL) que vous avez précédemment téléchargée sur votre ordinateur local. Les Listes de Révocation de Certificats (CRL) servent uniquement à vérifier l'état des certificats utilisés pour l'authentification VPN. Les certificats doivent être encodés au format PEM (base 64).

1. Cliquez sur Importer un certificat/une liste de révocation de certificats.
2. Sélectionnez l'onglet Importer une CRL.
3. Cliquez sur Parcourir et cherchez le fichier.
4. Cliquez sur Importer.
   La boîte de dialogue Importer la CRL s'affiche.
5. Cliquez sur OK.
   La Liste de Révocation de Certificats (CRL) que vous avez indiquée est ajoutée à celle de votre périphérique.

Exporter un certificat

Vous pouvez exporter un certificat afin de le faire signer par une autorité de certification approuvée ou de le distribuer aux clients de votre réseau. Il est enregistré au format PEM.

Sélectionnez un certificat et cliquez sur Exporter.

Créer une Demande de Signature de Certificat (CSR)

Pour créer une demande de signature de certificat :

1. Cliquez sur Créer une demande.
   L'Assistant Certificate Request Wizard démarre.
2. Cliquez sur Suivant.
3. Sélectionnez l'usage du certificat que vous avez rempli.
4. Si le certificat est destiné à chiffrer à nouveau le contenu inspecté avec un proxy HTTPS, Sélectionnez Autorité de Proxy (re-signer le certificat d'autorité de certification pour l'inspection du contenu sortant SSL/TLS).
5. Si le certificat est destiné à chiffrer à nouveau le contenu d'un serveur Web protégé avec proxy HTTPS, sélectionnez Serveur Proxy (certificat de serveur pour l'inspection du contenu entrant SSL/TLS).
6. Pour toutes les autres utilisations, dont l'authentification de VPN, de Firebox ou de Management Server, sélectionnez IPSec, Serveur Web ou Autre.
4. Cliquez sur Suivant.
5. Saisissez le nom du périphérique (l'hôte et le nom de domaine : hôte.example.com), le nom de l'entreprise et du service auquel il appartient, ainsi que la ville et le pays. Ces entrées sont utilisées pour créer le nom de l'objet.
6. Cliquez sur Suivant.
   L'assistant crée un nom d'objet en fonction des éléments entrés dans l'écran précédent.
7. Saisissez les informations correspondantes dans les zones de texte Nom DNS, Adresse IP et Nom de Domaine de l'Utilisateur.
8. Cliquez sur Suivant.
9. Le certificat utilise par défaut un chiffrement RSA, une longueur de clé de 2048 bits, avec chiffrement et signatures pour l'utilisation des clés. Cliquez sur Suivant.
   Les certificats de l'autorité de proxy HTTPS et du serveur proxy HTTPS ne proposent pas d'options pour l'utilisation de clés.
10. Une fois terminé, la Demande de Signature de Certificat est affichée.
    Vous devez l'envoyer à une autorité de certification pour qu'elle soit signée avant de pouvoir l'utiliser avec votre Firebox. Lorsque vous importez le certificat complet, vous devez d'abord importer le certificat d'Autorité de Certification utilisé pour signer le nouveau certificat dans la catégorie Autre.
11. Cliquez sur Terminer et Importer pour importer un certificat.
    La boîte de dialogue Importer un certificat/une CRL s'affiche.
    
12. Cliquez sur Terminer pour fermer l'assistant.

Utiliser un certificat de serveur Web pour l'authentification

Pour utiliser un certificat tiers à cet effet, vous devez commencer par importer le certificat. Consultez la procédure précédente pour en savoir plus. Si vous utilisez un certificat personnalisé signé par le Firebox, nous vous recommandons d'exporter le certificat, puis de l'importer sur chaque périphérique client qui se connecte au Firebox.

1. Sélectionnez Authentification > Certificat de Serveur Web.
   La page Certificat du serveur Web d'authentification s'ouvre.
2. Pour utiliser un certificat tiers préalablement importé, cochez Certificats Tiers et sélectionnez le certificat souhaité dans la liste déroulante.
   Cliquez sur Enregistrer et ne vous occupez pas des autres étapes de cette procédure.
3. Pour créer un nouveau certificat pour l'authentification du périphérique Firebox, sélectionnez Certificat personnalisé signé par Firebox.
4. Dans la zone de texte en bas de la boîte de dialogue, saisissez le nom de domaine ou l'adresse IP d'une interface de votre Firebox. Cliquez sur Ajouter.
   Quand vous avez ajouté tous les noms de domaine, cliquez sur OK.
5. Entrez le nom commun de votre organisation. Il s'agit habituellement de votre nom de domaine.
   Vous pouvez aussi entrer un nom d'organisation et un nom d'unité d'organisation (tous deux facultatifs) pour identifier l'élément de votre organisation qui a créé le certificat.
6. Cliquez sur Sauvegarder.

Voir aussi

À propos des certificats

Certificats pour l'authentification des tunnels mobile VPN with IPSec

Certificats pour l'authentification des tunnels Branch Office VPN (BOVPN)

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.