Lorsqu'un tunnel Mobile VPN est créé, l'identité de chaque endpoint doit être vérifiée. Cette clé peut être un mot de passe ou une clé pré-partagée (PSK) connu(e) par les deux endpoints, ou un certificat de Management Server. Votre Firebox doit être géré afin d'utiliser un certificat pour l'authentification Mobile VPN.
Si vous utilisez un certificat pour l'authentification, il est important de suivre l'expiration des certificats. Cela permet d'éviter les perturbations dans les services critiques tels que le VPN.
Pour configurer dans Policy Manager un nouveau tunnel Mobile VPN with IPSec afin qu'il utilise des certificats :
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche - Cliquez sur Ajouter.
L'assistant Mobile VPN with IPSec Wizard s'ouvre. - Cliquez sur Suivant.
- Complétez la page Sélectionner un serveur d'authentification utilisateur. Cliquez sur Suivant.
- Sélectionnez Utiliser le certificat RSA publié par WatchGuard Management Server.
- Entrez l'adresse IP et le mot de passe d'administration de votre Management Server.
- Terminez l'Assistant.
Pour configurer un tunnel Mobile VPN with IPSec existant pour qu'il utilise des certificats, dans Policy Manager :
- Sélectionnez VPN > Mobile VPN > IPSec.
- Sélectionnez le tunnel Mobile VPN que vous souhaitez modifier. Cliquez sur Modifier.
- Sélectionnez l'onglet Tunnel IPSec.
- Sélectionnez Utiliser un certificat.
- Entrez l'adresse IP de Management Server ou de l'autorité de certification. Si nécessaire, ajustez le délai d'expiration des connexions.
- Cliquez sur OK.
Lorsque vous utilisez des certificats, vous devez donner trois fichiers à chaque utilisateur de Mobile VPN :
- Le profil de l'utilisateur final (.wgx)
- Le certificat client (.p12)
- Le certificat racine de l'autorité de certification (.pem)
Pour plus d'informations sur l'ajout et la configuration du fichier.p12, consultez Sélectionner un Certificat et entrer le PIN.
Pour plus d'informations sur Mobile VPN with IPSec, voir Mobile VPN with IPSec.
Pour obtenir des instructions sur la génération du profil de l'utilisateur final qui exporte également les fichiers de certificat à distribuer aux utilisateurs Mobile VPN, consultez Générer les Fichiers de Configuration Mobile VPN with IPSec.
Vérifier les Certificats VPN à partir d'un Serveur LDAP
Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour l'authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d'autorité de certification tiers pour utiliser cette fonctionnalité.
- Dans Policy Manager, sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s'ouvre.
- Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse IP du serveur LDAP.
- (Facultatif) Entrez ou sélectionnez le numéro de port.
- Cliquez sur OK.
Votre Firebox vérifie la Liste de Révocation de Certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.
Voir Également
Configurer l'autorité de certification sur Management Server