Rubriques Connexes
À propos des certificats
Les certificats font correspondre l'identité d'une personne ou d'une organisation à une méthode permettant aux tiers de vérifier cette identité et de sécuriser les communications. Ils utilisent une méthode de chiffrement appelée « paire de clés », qui se compose de deux nombres mathématiquement liés appelés clé privée et clé publique. Un certificat contient une déclaration d'identité et une clé publique ; il est signé par une clé privée.
La clé privée servant à signer le certificat peut provenir de la paire de clés utilisée pour générer le certificat ou d'une autre paire de clés. Si elle provient de la paire de clés utilisée pour créer le certificat, on obtient ce qu'on appelle un certificat autosigné. Si elle provient d'une autre paire de clés, on obtient un certificat ordinaire. Les certificats à clés privées qui permettent de signer d'autres certificats sont des Certificats d'Autorité de Certification. Une autorité de certification est une organisation ou application qui signe et révoque des certificats.
Si votre entreprise dispose d'une infrastructure à clé publique (PKI), vous pouvez signer vous-mêmes les certificats en tant qu'Autorité de Certification. La plupart des applications et des périphériques acceptent automatiquement les certificats des autorités approuvées les plus connues. Les certificats qui ne sont pas signés par des autorités reconnues, comme les certificats autosignés, ne sont pas acceptés automatiquement par un grand nombre de serveurs ou programmes et ne sont pas compatibles avec certaines fonctions de Firebox.
Utiliser plusieurs certificats pour établir la confiance
Plusieurs certificats peuvent être utilisés conjointement pour créer une chaîne de confiance. Par exemple, le certificat d'Autorité de Certification qui commence la chaîne provient d'une Autorité de Certification reconnue et sert à signer un autre certificat émis par une Autorité de Certification intermédiaire. Cette dernière peut alors signer un autre certificat d'Autorité de Certification qui est utilisé par votre organisation. Pour conclure, votre entreprise peut utiliser ce certificat d'Autorité de Certification avec la fonction d'inspection du contenu du proxy HTTPS et du proxy SMTP. Cependant, pour être en mesure d'utiliser le certificat au bout de la chaîne de confiance, vous devez d'abord importer tous les certificats de la chaîne dans l'ordre suivant :
- Le certificat d'autorité de certification d'une autorité reconnue ou d'une autorité locale (de type Autre)
- Le certificat d'autorité de certification d'une autorité de certification intermédiaire le cas échéant (de type Autre)
- Certificat signé pour l'inspection du contenu de proxy (de type Autorité de Proxy pour le trafic sortant, de type Serveur Proxy pour le trafic entrant)
Il peut également s'avérer nécessaire d'importer l'ensemble de ces certificats sur chaque périphérique client afin que le dernier certificat soit lui aussi approuvé par les utilisateurs.
Les chaînes de certificats peuvent contenir tous ou certains de ces types de certificats en fonction de ce qui est requis. Par exemple, votre chaîne de certificats peut ne pas contenir de certificat d'autorité de certification intermédiaire ou de certificat local.
Comment le Périphérique Firebox Utilise-t-il les Certificats ?
Votre Firebox peut utiliser des certificats à des fins diverses :
- Les données des sessions de gestion sont sécurisées par un certificat.
- Les tunnels Branch Office VPN, Mobile VPN with IPSec et Mobile VPN with L2TP peuvent utiliser des certificats pour l'authentification.
- Lorsque l'inspection de contenu est activée pour le trafic HTTPS, ce proxy utilise un certificat pour chiffrer à nouveau le trafic entrant après l'avoir déchiffré pour inspection.
- Vous pouvez utiliser un certificat avec le proxy afin de protéger un serveur Web sur votre réseau.
- Lorsqu'un utilisateur s'authentifie sur le Firebox quelle qu'en soit la raison, par exemple pour contourner WebBlocker, la connexion est sécurisée à l'aide d'un certificat.
- Lorsque l'authentification RADIUS ou Firebox est configurée pour utiliser les méthodes d'authentification WPA Enterprise ou WPA2 Enterprise.
Par défaut, votre Firebox crée des certificats autosignés pour sécuriser les données des sessions de gestion et les tentatives d'authentification de Fireware Web UI et de l'inspection de contenu du proxy. Pour garantir l'unicité du certificat utilisé pour l'inspection de contenu, son nom comprend le numéro de série du périphérique et l'heure de création du certificat.
Étant donné que ces certificats n'ont pas été signés par une autorité de certification approuvée, un avertissement s'affiche sur les navigateurs Web des utilisateurs de votre réseau.
Trois options sont à votre disposition pour supprimer cet avertissement :
- Vous pouvez importer des certificats signés par une autorité de certification en laquelle votre organisation a confiance, par exemple une infrastructure à clé publique (PKI) déjà configurée pour votre organisation, afin d'utiliser ces fonctionnalités. Nous vous recommandons cette option, dans la mesure du possible.
- Vous pouvez créer un certificat autosigné personnalisé correspondant au nom et au site de votre organisation.
- Vous pouvez utiliser le certificat autosigné par défaut.
Pour les deux dernières options, vous pouvez demander aux clients réseau d'accepter ces certificats autosignés manuellement lorsqu'ils se connectent au Firebox. Vous pouvez également exporter les certificats et les distribuer avec les outils de gestion de réseau.
Pour plus d'informations sur l'exportation des certificats, voir Exporter un Certificat à Partir de Votre Firebox.
Pour plus d'informations sur l'importation du certificat sur un client, voir Importer un certificat sur un client périphérique.
Pour plus d'informations sur la manière de télécharger et importer le certificat à partir du Portail de Certificats sur le Firebox, vconsultez Portail de Certificats.
Remplacer ou Supprimer des Certificats
Lorsque vous importez un certificat, le certificat existant est remplacé. À de rares occasions, vous devrez peut-être supprimer manuellement un certificat pour les raisons suivantes :
- Une demande de signature de certificat (CSR) est en attente et n'aboutira pas
- Un certificat a expiré
- Un certificat d'autorité de certification existe sur un serveur local qui n'est plus utilisé
Ne supprimez pas un certificat de votre Firebox à moins que vous ne prévoyez de le remplacer. Si vous supprimez un certificat et que vous ne le remplacez pas, le Firebox remplacera automatiquement le certificat manquant par un certificat par défaut quand il redémarrera.
Durée de vie des certificats et listes de révocation de certificats (CRL)
Chaque certificat a une durée de vie déterminée au moment de sa création. Lorsqu'il arrive au terme de cette durée de vie, le certificat expire et ne peut plus être utilisé automatiquement. Vous pouvez également supprimer manuellement les certificats avec Firebox System Manager.
Parfois, des certificats sont révoqués ou désactivés par l'autorité de certification avant l'expiration de leur durée de vie. Votre Firebox conserve une liste à jour de ces certificats révoqués, appelée Liste de Révocation de Certificats, pour vérifier la validité des certificats utilisés pour l'authentification VPN. Si le gestionnaire WatchGuard System Manager est installé, cette liste peut être mise à jour manuellement à partir de Firebox System Manager, ou automatiquement à partir des informations d'un certificat. Chaque certificat comprend un numéro unique permettant de l'identifier. Si le numéro unique d'un certificat de serveur Web, de BOVPN, de Mobile VPN with IPSec ou Mobile VPN with L2TP correspond à un identifiant de la liste de révocation associée, le Firebox désactive le certificat.
Quand l'inspection de contenu est activée sur un proxy, le Firebox peut interroger le programme de réponse du protocole OCSP (Protocole de Vérification en Ligne de l'État du Certificat) associé aux certificats utilisés pour signer le contenu. Le programme de réponse OCSP envoie l'état de révocation du certificat. Le Firebox accepte cette réponse de l'OCSP si elle est signée par un certificat qu'il a approuvé. Si la réponse de l'OCSP n'est pas signée par un certificat de confiance du Firebox, ou si le programme n'envoie pas de réponse, vous pouvez configurer le Firebox de sorte qu'il accepte ou rejette le certificat d'origine.
Pour plus d'informations sur les options du protocole OCSP, voir HTTPS-Proxy : inspection du contenu.
Autorités de certification et demandes de signatures
Pour créer un certificat autosigné, vous mettez une partie d'une paire de clés cryptographique dans une demande de signature de certificat que vous envoyez à une autorité de certification. Il est important d'utiliser une nouvelle paire de clés pour chaque demande de signature que vous créez. Sur réception de la demande, l'autorité de certification vérifie votre identité et émet un certificat. Si les logiciels FSM ou Management Server sont installés, vous pouvez utiliser ces programmes pour créer une Demande de Signature de Certificat pour votre Firebox. Vous pouvez aussi utiliser d'autres outils, comme OpenSSL ou le Serveur d'Autorité de Certification de Microsoft, livré avec tous les systèmes d'exploitation Windows Server.
Nous vous recommandons d'utiliser un logiciel tiers pour générer le CSR. Ceci permet d'utiliser le certificat sur un autre Firebox si vous le mettez à niveau vers un modèle plus récent, migrez vers un autre Firebox, ou renvoyez le Firebox pour un remplacement RMA.
Pour créer un certificat à utiliser avec la fonction d'inspection de contenu par proxy HTTPS, vous devez créer un certificat d'autorité de certification qui pourra à son tour signer d'autres certificats. Si vous créez une Demande de Signature de Certificat (CSR) et que vous la faites signer par une Autorité de Certification reconnue, elle ne pourra pas être utilisée comme certificat d'Autorité de Certification pouvant à son tour signer des certificats pour l'inspection des contenus.
Pour une inspection de contenu SMTP TLS, vous pouvez utiliser le certificat auto-signé par défaut. Si vous voulez que les entités externes puissent valider votre domaine, utilisez le certificat d'un serveur web.
Si votre entreprise ne dispose pas d'infrastructure à clé publique (PKI), nous vous recommandons de choisir une Autorité de Certification reconnue pour signer les Demandes de Signature de Certificat que vous utilisez, à l'exception du certificat d'Autorité de Proxy. Si une autorité de certification reconnue signe vos certificats, ceux-ci sont automatiquement approuvés par la majorité des utilisateurs. Vous pouvez aussi importer d'autres certificats afin que votre Firebox approuve d'autres Autorités de Certification.
Pour obtenir une liste exhaustive des Autorités de Certification approuvées, voir Autorités de Certification Approuvées par le Périphérique.
Dans le gestionnaire WatchGuard System Manager, le serveur Management Server fonctionne également en tant qu'autorité de certification. L'Autorité de Certification transmet des certificats aux Firebox gérés lorsqu'ils contactent le Management Server pour recevoir des mises à jour de configuration.
Pour plus d'informations, voir Configurer l'autorité de certification sur Management Server.
Voir aussi
Créer un certificat à l'aide de FSM ou de Management Server
Créer une demande de certificat signée avec OpenSSL
Importer un certificat sur un client périphérique
Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS
Certificats pour l'authentification des tunnels Branch Office VPN (BOVPN)
Certificats pour l'authentification des tunnels mobile VPN with IPSec
Certificats pour l'authentification des tunnels Mobile VPN with IPSec
Gérer les Certificats de Périphérique (WSM)