Cuando se crea un túnel de Mobile VPN, la identidad de cada endpoint debe ser verificada con una clave. Esa clave puede ser una contraseña o una clave precompartida (PSK) conocida por ambos endpoints, o un certificado del Management Server. Su Firebox debe ser un dispositivo administrado para usar un certificado para la autenticación de Mobile VPN. Debe usar WatchGuard System Manager para configurar su Firebox como un dispositivo administrado.
Si utiliza un certificado para la autenticación, es importante realizar un seguimiento de cuándo vencen los certificados. Esto ayuda a evitar interrupciones en servicios críticos como VPN.
Para obtener más información acerca de WatchGuard System Manager, consulte Acerca de WatchGuard System Manager.
Para configurar un nuevo túnel de Mobile VPN with IPSec para usar certificados, desde Web UI:
- Seleccione VPN > Mobile VPN.
En Fireware v12.2.1 o superior, seleccione VPN > Mobile VPN with IPSec y omita el Paso 2. - En la sección IPSec, haga clic en Configurar.
- Haga clic en Agregar.
- Seleccione la pestaña Túnel IPSec.
- En la sección Túnel IPSec, seleccione Usar un certificado.
- En el cuadro de texto Dirección IP de CA, ingrese la dirección IP de su Management Server.
- En el cuadro de texto Tiempo de Espera, ingrese o seleccione el tiempo en segundos que el cliente Mobile VPN with IPSec espera por una respuesta de la autoridad de certificación antes de que detenga los intentos de conexión. Recomendamos que mantenga el valor predeterminado, que es de 25 segundos.
- Complete la configuración del grupo de Mobile VPN.
Por instrucciones de configuración de Mobile VPN with IPSec, consulte Configurar el Firebox para Mobile VPN with IPSec.
Para configurar un túnel existente de Mobile VPN with IPSec para usar certificados, desde Web UI:
- Seleccione VPN > Mobile VPN with IPSec.
En Fireware v12.2.1 o superior, seleccione VPN > Mobile VPN with IPSec y omita el Paso 2. - Haga clic en Configurar.
- Seleccione grupo de Mobile VPN que desee cambiar. Haga clic en Editar.
- Seleccione la pestaña Túnel IPSec.
- En la sección Túnel IPSec, seleccione Usar un certificado.
- En el cuadro de texto Dirección IP de CA, ingrese la dirección IP de su Management Server.
- En el cuadro de texto Tiempo de Espera, ingrese o seleccione el tiempo en segundos que el cliente Mobile VPN with IPSec espera por una respuesta de la autoridad de certificación antes de que detenga los intentos de conexión. Recomendamos que mantenga el valor predeterminado, que es de 25 segundos.
- Haga clic en Guardar.
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
- El perfil del usuario final (.wgx)
- El certificado del cliente (.p12)
- El certificado raíz de CA (.pem)
Copie todos los archivos en el mismo directorio. Para obtener más información sobre cómo agregar y configurar el archivo .p12, consulte Seleccionar un Certificado e Ingresar el PIN.
Para obtener información general sobre las políticas de Mobile VPN with IPSec, consulte Mobile VPN with IPSec.
Verificar los Certificados de VPN con un Servidor LDAP
Puede usar un servidor LDAP para verificar automáticamente certificados usados para la autenticación de VPN si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de terceros para usar esta función.
- Seleccione VPN > Configuración Global.
Se abre la página Ajustes Globales de VPN.
- Seleccione la casilla de verificación Habilitar Servidor de LDAP para la verificación de certificado.
- En el cuadro de texto Servidor, ingrese el nombre o dirección IP del servidor LDAP.
- (Opcional) Ingrese o seleccione el número de Puerto.
- Haga clic en Aceptar.
Su Firebox verifica la lista de revocación de certificados (CRL) almacenada en el servidor de LDAP cuando se solicita la autenticación del túnel.