Utilizar Certificados para la Autenticación del Túnel de Mobile VPN with IPSec
Cuando configura Mobile VPN with IPSec, puede configurar el túnel para utilizar un certificado para la autenticación del túnel en vez de una clave precompartida. El certificado, generado por un WatchGuard Management Server, se utiliza para autenticar el túnel antes que el cliente envíe el nombre de usuario y la contraseña para la autenticación de usuario.
El certificado IPSec generado por WatchGuard Management Server es válido por un año. Cuando el Firebox requiera un nuevo certificado IPSec, notificará automáticamente al Management Server para renovar el certificado. No es necesario que renueve manualmente el certificado cuando vea advertencias de vencimiento. Si de cualquier manera desea renovar el certificado manualmente, puede generar un nuevo certificado desde el CA Manager en el Management Server. Para más información, consulte Administrar certificados en el Management Server.
Para utilizar un certificado para la autenticación del túnel de Mobile VPN with IPSec:
- El Firebox debe ser administrado por un WatchGuard Management Server.
- Debe utilizar un Policy Manager para generar los archivos de configuración del perfil y del certificado para distribuir a los usuarios
- Sus usuarios móviles deben utilizar el cliente Mobile VPN IPSec de WatchGuard para Windows o macOS
Configurar Mobile VPN with IPSec en el Firebox para utilizar un Certificado
Antes de que habilite un Mobile VPN with IPSec para que use un certificado para la autenticación del túnel, debe conectarse con el Management Server con el WatchGuard System Manager por lo menos una vez para instalar automáticamente el certificado raíz de Management Server en su equipo de administración.
En Policy Manager, puede configurar un nuevo grupo Mobile VPN with IPSec para utilizar un certificado, o puede editar un túnel existente para permitirlo.
- Seleccione VPN > Mobile VPN > IPSec.
- Haga clic en Agregar para iniciar el Add Mobile VPN with IPSec Wizard.
- Configure el servidor de autenticación y el grupo según lo descrito en Configurar el Firebox para Mobile VPN with IPSec.
- En el paso Seleccionar un método de autenticación del túnel, seleccione Usar un certificado RSA emitido por su WatchGuard Management Server.
- En el cuadro de texto Dirección IP, ingrese la dirección IP de su WatchGuard Management Server.
- En el cuadro de texto Contraseña, ingrese la contraseña del usuario administrador en su Management Server.
- Haga clic en Siguiente. ¡Consejo!
El asistente se conecta con el Management Server para generar el certificado para la configuración del usuario móvil. - Complete el resto de los ajustes del asistente según lo descrito en Configurar el Firebox para Mobile VPN with IPSec.
- Seleccione VPN > Mobile VPN > IPSec.
- Seleccione una configuración de Mobile VPN existente y haga clic en Editar.
- Seleccione la pestaña Túnel IPSec.
- Seleccione Usar un Certificado.
- En el cuadro de texto Dirección IP de CA, ingrese la dirección IP de su Management Server.
- En el cuadro de texto Contraseña, ingrese la contraseña del usuario administrador en su Management Server.
- En el cuadro de texto Tiempo de Espera ingrese el tiempo en segundos antes de que el Firebox detenga una tentativa de autenticar un túnel Mobile VPN with IPSec si no hay respuesta de la autoridad certificante. Recomendamos que se mantenga el valor predeterminado.
- Haga clic en Aceptar.
Aparece el cuadro de diálogo Configuración de Management Server.
- En el cuadro de texto Dirección IP, ingrese la dirección IP para conectarse a su Management Server.
- En el cuadro de texto Contraseña, ingrese la contraseña de la cuenta de usuario de administración en su Management Server.
- Haga clic en Aceptar. ¡Consejo!
El Policy Manager se conecta con el Management Server para generar el certificado para la configuración del usuario móvil.
- (Fireware v12.3 o versión superior) Seleccione VPN > Mobile VPN.
- En la sección IPSec, seleccione Configurar.
Aparece la página de Mobile VPN with IPSec. - (Fireware v12.2.1 o versión inferior) Seleccione VPN > Mobile VPN with IPSec.
Aparece la página de Mobile VPN with IPSec. - Haga clic en Agregar para agregar una nueva configuración de grupo VPN seleccione un grupo existente y haga clic en Editar.
- Seleccione la pestaña Túnel IPSec.
- Seleccione Usar un certificado.
- En el cuadro de texto Dirección IP de CA, ingrese la dirección IP de su Management Server.
- En el cuadro de texto Tiempo de Espera ingrese el tiempo en segundos antes de que el Firebox detenga una tentativa de autenticar un túnel Mobile VPN with IPSec si no hay respuesta de la autoridad certificante. Recomendamos que se mantenga el valor predeterminado.
- Configure los ajustes en las pestañas General y Recurso según lo descrito en Configurar el Firebox para Mobile VPN with IPSec.
Si cambia la autenticación del túnel para los usuarios existentes, debe generar y distribuir el nuevo perfil y certificado para los usuarios móviles.
Generar el Certificado y Perfil de Usuario Final
Después de que configure un perfil de Mobile VPN with IPSec para usar un certificado para la autenticación del túnel, debe utilizar un Policy Manager para generar el archivo de configuración .wgx y el certificado para enviarlos a los usuarios móviles.
Para generar un perfil de usuario final para un grupo, desde Policy Manager:
- Seleccione VPN > Mobile VPN > IPSec.
- Seleccione el grupo Mobile VPN.
- Haga clic en Generar.
Aparece el cuadro de diálogo Configuración de Management Server.
- En el cuadro de texto Dirección IP, ingrese la dirección IP para conectarse a su Management Server. La dirección IP que especifique aquí debe ser una dirección que su equipo de administración puede utilizar para conectarse con el Management Server. Puede ser que sea diferente de la dirección en la configuración que el Firebox utiliza para conectarse con el Management Server.
- En el cuadro de texto Contraseña, ingrese la contraseña de la cuenta de usuario de administración en su Management Server.
- Haga clic en Aceptar. ¡Consejo!
Policy Manager genera los archivos de configuración y el archivo de certificado y muestra la ubicación donde usted puede encontrar los archivos generados.
Utilice un método seguro para distribuir el perfil cifrado de usuario final (archivo .wgx) y el certificado PKCS12 (archivo .p12) para los usuarios móviles que utilizan un Cliente Mobile VPN IPSec de WatchGuard.
Configurar el Cliente VPN
Cada usuario debe importar el perfil y el certificado al cliente Mobile VPN IPSec. Para obtener más información acerca de cómo hacer esto, consulte:
Administrar certificados en el Management Server
Puede usar la herramienta WebCenter de WatchGuard, CA Manager para ver y administrar certificados en el management server. El nombre común del certificado es el nombre del perfil Mobile VPN with IPSec.
Para más información, consulte Administrar certificados en el Management Server.