Certificats pour l'Authentification des Tunnels Mobile VPN with IPSec (Web UI)
Lorsqu'un tunnel Mobile VPN est créé, l'identité de chaque endpoint doit être vérifiée par une clé. Cette clé peut être un mot de passe ou une clé pré-partagée (PSK) connu(e) par les deux endpoints, ou un certificat de Management Server. Votre Firebox doit être géré afin d'utiliser un certificat pour l'authentification Mobile VPN. Vous devez utiliser WatchGuard System Manager pour configurer votre Firebox en tant que périphérique géré.
Si vous utilisez un certificat pour l'authentification, il est important de suivre l'expiration des certificats. Cela permet d'éviter les perturbations dans les services critiques tels que le VPN.
Pour plus d'informations sur WatchGuard System Manager, consultez À propos de WatchGuard System Manager.
Pour configurer un nouveau tunnel Mobile VPN with IPSec afin d'utiliser des certificats, depuis l'interface Web UI :
- Sélectionnez VPN >Mobile VPN.
Dans Fireware v12.2.1 et versions ultérieures, sélectionnez VPN > Mobile VPN with IPSec et ignorez l'Étape 2. - Dans la section IPSec, cliquez sur Configurer.
- Cliquez sur Ajouter.
- Sélectionnez l'onglet Tunnel IPSec.
- Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat.
- Dans la zone de texte Adresse IP de l'Autorité de Certification, entrez l'adresse IP de votre Management Server.
- Dans la zone de texte Délai d'Inactivité, entrez ou sélectionnez le délai en secondes pendant lequel le client Mobile VPN with IPSec doit attendre une réponse de l'autorité de certification avant de cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut, qui est de 25 secondes.
- Terminez la configuration du groupe Mobile VPN.
Pour des instructions sur la configuration de Mobile VPN with IPSec, consultez Configurer le Firebox pour Mobile VPN with IPSec.
Pour configurer un tunnel Mobile VPN with IPSec pour utiliser des certificats, à partir de l'interface Web UI :
- Sélectionnez VPN > Mobile VPN with IPSec.
Dans Fireware v12.2.1 et versions ultérieures, sélectionnez VPN > Mobile VPN with IPSec et ignorez l'Étape 2. - Cliquez sur Configurer.
- Sélectionnez le groupe Mobile VPN que vous souhaitez modifier. Cliquez sur Modifier.
- Sélectionnez l'onglet Tunnel IPSec.
- Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat.
- Dans la zone de texte Adresse IP de l'Autorité de Certification, entrez l'adresse IP de votre Management Server.
- Dans la zone de texte Délai d'Inactivité, entrez ou sélectionnez le délai en secondes pendant lequel le client Mobile VPN with IPSec doit attendre une réponse de l'autorité de certification avant de cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut, qui est de 25 secondes.
- Cliquez sur Enregistrer.
Lorsque vous utilisez des certificats, vous devez donner trois fichiers à chaque utilisateur de Mobile VPN :
- Le profil de l'utilisateur final (.wgx)
- Le certificat client (.p12)
- Le certificat racine de l'autorité de certification (.pem)
Copiez tous les fichiers dans le même répertoire. Pour plus d'informations sur l'ajout et la configuration du fichier .p12, consultez Sélectionner un Certificat et entrer le PIN.
Pour des informations générales sur Mobile VPN with IPSec, consultez Mobile VPN with IPSec.
Vérifier les Certificats VPN à partir d'un Serveur LDAP
Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour l'authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d'autorité de certification tiers pour utiliser cette fonctionnalité.
- Sélectionnez VPN > Paramètres Globaux.
La page Paramètres VPN Globaux s'ouvre.
- Cochez la case Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse IP du serveur LDAP.
- (Facultatif) Entrez ou sélectionnez le numéro de port.
- Cliquez sur OK.
Votre Firebox vérifie la liste de révocation de certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.