Migration pas à pas

Infineon Security Platform

Infineon Security Platform Solution

Migration pas à pas

Le processus de migration des informations d'identification se divise en deux parties : les étapes administratives et les étapes utilisateur. La première partie comprend l'autorisation, l'installation et la gestion du processus de migration effectué par l'administrateur. Une fois les étapes d'administration terminées, les utilisateurs n'ont qu'à exporter et importer leurs clés et certificats de la source vers la cible.

En mode serveur, la migration des clés et certificats utilisateur est gérée par Trusted Computing Management Server, donc vous ne devez pas exécuter les étapes de migration (avec l'exception des Etapes Utilisateur 3 et 4).

Étapes administratives

Étape 1 - Exportation de l'identité de l'ordinateur de destination Comment procéder :
Pour effectuer la migration, il faut d'abord identifier un ordinateur de destination sur lequel les clés utilisateur et les certificats doivent être transférés. Pour que cela soit possible, une clé publique identifiant l'ordinateur de destination est rendue disponible (exportée) par un administrateur de l'ordinateur de destination. Cette clé sera utilisée ultérieurement pour assigner les clés utilisateur et les certificats à cet ordinateur (Remarque : Lorsque le contenu est protégé par la clé publique du système de destination, seule la clé privée de l'ordinateur qui est protégée par le Trusted Platform Module peut accéder aux clés et aux certificats transférés). Cette étape est nécessaire pour créer une base de confiance dans l'exécution de la migration - en garantissant que seuls les systèmes de destination choisis peuvent accéder aux informations d'identification secrètes de l'utilisateur.

L'administrateur d'Infineon Security Platform du système de destination doit exporter le certificat ordinateur (clé publique) vers un fichier. Suivez les étapes mentionnées :

  • Sélectionnez Migration dans d'Infineon Security Platform Settings Tool.
  • Sélectionnez Ce systéme est la plate-forme de destination et cliquez sur Enregistrer...
  • Naviguez vers un emplacement de stockage fichier que vous choisissez ; ceci doit être accessible pour les deux ordinateurs. Le fichier est enregistré avec un nom par défaut fichier SpPubKeyArchive.xml.

    Support de stockage acceptable : Supports amovibles ou unité réseau mappée.

Retenez l'emplacement et le nom fichier pour la clé exportée, car ces infos seront requises dans l'étape suivante.

Étape 2 - Autorisation par le propriétaire de l'ordinateur source
 
Comment procéder :
A l'étape suivante de la migration, le propriétaire du système source (l'ordinateur à migrer) doit autoriser la migration des clés utilisateur et des certificats vers un ordinateur de destination spécifique. A cet effet, le propriétaire doit avoir accès à la clé publique de l'ordinateur de destination. Il s'agit de la clé publique exportée antérieurement par un administrateur de l'ordinateur de destination (voir étape n° 1 ci-dessus). L'autorisation, par un propriétaire d'Infineon Security Platform, de l'ordinateur de destination force la pile du logiciel de sécurité à vérifier que les clés utilisateur et les certificats soient exclusivement assignés à l'ordinateur de destination spécifié. Comment procéder :

Le propriétaire d'Infineon Security Platform de l'ordinateur source (ordinateur à migrer) doit autoriser l'exportation d'informations d'identification utilisateur vers l'ordinateur de destination. Suivez les étapes mentionnées :

  • Sélectionnez Migration dans d'Infineon Security Platform Settings Tool.
  • Sélectionnez Ce systéme est la plate-forme source et cliquez sur Autoriser....
  • Dans l'écran Autoriser migration, cliquez sur Importer....
  • Naviguez vers l'emplacement du fichier clé publique SpPubKeyArchive.xml et cliquez sur Ouvrir.
  • Saisissez le mot de passe du propriétaire de l'ordinateur source et cliquez sur OK.
  • Vérifiez si le nom hôte de l'ordinateur de destination et l'ID unique plate-forme sont listés et ensuite cliquez sur Fermer.

Etape 1 et Etape 2 combinées - Exportation et autorisation automatiques Comment procéder :
Il existe une autre manière de combiner et d'exécuter les deux étapes décrites ci-dessus : par l'auto-exportation et l'autorisation qui omet l'étape 1 et qui est très proche de l'étape 2. Le propriétaire d'Infineon Security Platform de l'ordinateur source autorise la migration des clés utilisateur et des certificats situés sur un ordinateur spécifique vers un ordinateur de destination spécifique. La différence est qu'au lieu d'identifier manuellement le fichier avec les références d'identification de l'ordinateur de destination, la plateforme cible est identifiée à l'aide du dialogue de navigation standard d'un ordinateur de réseau. Une fois un système identifié, Infineon Security Platform essaie d'établir un contact dynamique avec le système de destination (en utilisant le mécanisme DCOM) et il demande les clés et certificats de la plateforme. Si le système cible est équipé de l'Infineon Security Platform, l'information de migration sera automatiquement transférée entre les deux ordinateurs.

Conditions préalables :

  • Ordinateur source : L'utilisateur actuel (le propriétaire d'Infineon Security Platform) doit être membre du groupe Administrateurs pour l'ordinateur de destination.
  • Ordinateur de destination : Infineon Security Platform est installée et activée.
  • Ordinateur de destination : La stratégie système Permettre aux administrateurs de récupérer la clé publique SRK à distance est activée.
  • Ordinateur de destination : Aucun pare-feu ne bloque la demande entrée DCOM (par exemple un pare-feu intégré dans Microsoft Windows XP ou un autre pare-feu).
  • Le réseau est configuré pour permettre les demandes DCOM.
  • L'ordinateur source et l'ordinateur de destination doivent être membres des domaines autorisés à s'approuver.

Si l'autorisation automatique n'est pas possible, les étapes manuelles (1 et 2) décrites ci-dessus doit être suivies.

Le propriétaire d'Infineon Security Platform de l'ordinateur source (ordinateur à migrer) doit autoriser l'exportation des clés et certificats utilisateur vers l'ordinateur de destination. Suivez les étapes mentionnées :

  • Sélectionnez Migration dans d'Infineon Security Platform Settings Tool.
  • Sélectionnez Ce systéme est la plate-forme source et cliquez sur Autoriser....
  • Dans l'écran Autoriser migration, cliquez sur Parcourir.... Le dialogue de navigation réseau s'ouvre.
  • Naviguez et trouvez l'ordinateur de destination et sélectionnez OK.
  • Le transfert automatique des informations de migration s'initialise depuis l'ordinateur source vers l'ordinateur de destination.

 

Étapes utilisateur

Si le Personal Secure Drive d'un utilisateur est configuré sur l'ordinateur source, c'est important de prendre la sauvegarde de Personal Secure Drive et de stocker le fichier de sauvegarde PSD (nom de fichier par défaut : SpPSDBackup.fsb) pour l'ordinateur source dans un emplacement pouvant être accédé depuis les deux ordinateurs. Afin d’utiliser une copie des fichiers d’image PSD de source sur le PC de destination, les fichiers d’image de sauvegarde du PC de source doivent être mis à disposition.

Étape 1 - Exportation des clés utilisateur et des certificats depuis l'ordinateur source Comment procéder :
Après avoir finalisé les opérations d'administration, les différents utilisateurs d'Infineon Security Platform sont autorisés à exporter, de façon sécurisée, leurs clés et certificats (protégés par la clé publique du système de destination et, par conséquent, lisibles uniquement par la plateforme de destination).

Les utilisateurs d'Infineon Security Platform sur l'ordinateur source exporte leurs clés et certificats pour migration. Suivez les étapes mentionnées :

  • Sélectionnez Migration dans d'Infineon Security Platform.
  • Sélectionnez Ce systéme est la plate-forme source et cliquez sur Exporter....
  • Choisissez l'ordinateur de destination dans la liste et cliquez sur Suivant.
  • Naviguez vers un emplacement de stockage fichier que vous choisissez ; ceci doit être accessible pour les deux ordinateurs. Le fichier est enregistré avec le nom par défaut de fichier SpMigrationArchive.xml. Cliquez sur Suivant.
  • Saisissez le mot de passe utilisateur de base pour l'ordinateur source et cliquez sur Suivant.
  • Confirmez les paramètres et cliquez sur Suivant.
  • Dans l'écran Dernière page, vérifiez si l'exportation des clés et certificats utilisateur est réussite et cliquez sur Terminer.

Retenez l'emplacement et le nom du fichier archive et fichier de sauvegarde PSD, car ces infos seront requises dans l'étape suivante.

Étape 2 - Importation des clés utilisateur et des certificats sur l'ordinateur de destination
 
Comment procéder :
Puis, les utilisateurs doivent également « importer » les clés et certificats vers les ordinateurs de destination, dans la mesure où ils sont détenteurs d'un compte utilisateur.

Sur un ordinateur de destination, les utilisateurs individuels d'Infineon Security Platform peuvent importer leurs clés et certificats pour migration. Suivez les étapes mentionnées :

  • Sélectionnez Migration dans d'Infineon Security Platform.
  • Sélectionnez Ce système est la plate-forme de destination et cliquez sur   Importer….
  • Naviguez vers l'emplacement du fichier archive SpMigrationArchive.xml et cliquez sur Suivant.
  • Saisissez le mot de passe utilisateur de base configuré sur l'ordinateur source et cliquez sur Suivant.
  • Confirmez les paramètres et cliquez sur Suivant.
  • Si les fonctions Security Platform ont été configurées auparavant sur la plateforme de destination, un avertissement s'affiche. Lisez attentivement le message et cliquez sur Oui.
  • Dans l'écran Dernière page, vérifiez si la migration des clés et certificats utilisateur a été réussite et cliquez sur Terminer.
  • Dans la fenêtre Terminer de l'assistant, vous avez la possibilité de passer automatiquement à l'étape suivante en sélectionnant l'option Démarrer l'Assistant Initialisation de l'utilisateur de Security Platform.

Notez les conseils sur Migration et Personal Secure Drives.

Étape 3 - Configuration des applications pour utiliser les clés et certificats transférés Comment procéder :
Une fois la migration des clés et certificats terminée, il est important d'associer ces nouvelles informations d'identification aux différentes applications que l'utilisateur veut utiliser sur l'ordinateur de destination.

Puisque les informations d'identification peuvent être utilisées par des applications très diverses, chaque fournisseur de logiciel d'application proposera sa méthode particulière pour importer les clés et certificats transférés. Par exemple les utilisateurs peuvent configurer le système de fichiers de cryptage (EFS) pour utiliser le certificat migré. Suivez les étapes mentionnées :

  • Allez dans Paramètres utilisateur dans d'Infineon Security Platform Settings Tool.
  • Cliquez sur Configurer....
  • Suivez les instructions affichées sur l'écran et cliquez sur Modifier... dans la page Fonctions Security Platform - Certificat de cryptage.
  • Sélectionnez le certificat migré, cliquez sur OK et continuez avec la page suivante de l'assistant.

Étape 4 - Reconfiguration de fonctions utilisateur - Personal Secure Drive Comment procéder :
Une fois que la migration des clés et certificats est complétée, l'utilisateur doit reconfigurer les paramètres de Personal Secure Drive sur l'ordinateur de destination. Si un ou plus de Personal Secure Drives ont été configurés sur le PC de source, vous devez reconfigurer les Personal Secure Drives migrés sur le PC de destination (voir Gérer vos Personal Secure Drives). Afin de reconfigurer un Personal Secure Drive, sélectionnez Je souhaite changer mes paramètres de Personal Secure Drive et suivez les instructions sur écran. Afin d'utiliser une copie d'une source Personal Secure Drive sur l'ordinateur de destination, le fichier d'image de sauvegarde concerné (nom de fichier par défaut : SpPSDBackup.fsb) de l'ordinateur d'origine doit être restauré. Notez qu'après la restauration vous aurez deux Personal Secure Drives indépendants sur l'ordinateur d'origine et de destination.


©Infineon Technologies AG