Certificats pour l'Authentification des Tunnels Mobile VPN with L2TP
Lorsqu'un tunnel Mobile VPN with L2TP est créé, l'identité de chaque endpoint doit être vérifiée par une clé. Cette clé peut être un mot de passe ou une clé pré-partagée (PSK) connu(e) par les deux endpoints, un certificat tiers ou autosigné ou un certificat de Management Server.
Pour utiliser un certificat pour l'authentification d'un Mobile VPN with L2TP :
- Vous devez d'abord importer le certificat.
- Le certificat du serveur doit contenir le nom d'hôte du serveur (DNS=<server FQDN>) ou l'adresse IP du serveur (IP=<server IP address>) dans le cadre du sujetAltName.
- Vérifiez que les certificats des périphériques situés à chaque endpoint de passerelle utilisent le même algorithme. (à savoir DSS ou RSA).
- En l'absence d'un certificat tiers ou autosigné, vous devez utiliser l'Autorité de Certification sur votre Management Server WSM. Votre Firebox doit être géré par votre Management Server afin d'utiliser le certificat d'Autorité de Certification de Management Server pour l'authentification Mobile VPN. Pour plus d'informations, consultez Configurer l'autorité de certification sur Management Server.
Si vous utilisez un certificat pour l'authentification, il est important de suivre l'expiration des certificats. Cela permet d'éviter les perturbations dans les services critiques tels que le VPN.
Vous pouvez sélectionner un certificat avec ou sans un identifiant Extended Key Usage (EKU) pour IPSec. Un identifiant EKU spécifie le but du certificat. Lorsque vous sélectionnez Utiliser Certificat Firebox IPSec, vous voyez une liste des certificats qui ont un EKU IPSec. Pour voir une liste des certificats disponibles qui n'ont pas d'identifiant EKU, sélectionnez Afficher Tous les Certificats.
Si le certificat d'Autorité de Certification de Management Server que vous importez ne contient pas le nom d'hôte ou l'adresse IP qui convient, votre Firebox pourrait ne pas être en mesure de se connecter à certains clients IPSec L2TP (tels que les clients macOS). Nous vous recommandons de créer un nouveau certificat avec le nom d'hôte ou l'adresse IP corrects à utiliser pour les connexions IPSec L2TP.
- Sélectionnez VPN >Mobile VPN.
La page Mobile VPN s'affiche. - Cliquez sur Lancer l'assistant.
L'assistant WatchGuard L2TP Setup Wizard s'affiche. - Pour obtenir des instructions sur l'utilisation de l'assistant, voir Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard.
- Sur la page Sélectionnez la méthode d'authentification de tunnel, sélectionnez Utiliser un Certificat IPSec Firebox et sélectionnez un certificat RSA dans la liste. Si vous ne voyez pas votre certificat, cochez la case Afficher Tous les Certificats.
- Terminez l'Assistant.
Pour modifier un tunnel Mobile VPN à partir de Fireware Web UI afin qu'il utilise des certificats d'authentification :
- Sélectionnez VPN >Mobile VPN.
La page Mobile VPN s'affiche. - Dans la section L2TP, cliquez sur Configurer.
- Sélectionnez l'onglet IPSec.
- Sélectionnez Utiliser un certificat IPSec Firebox et sélectionnez un certificat RSA dans la liste. Si vous ne voyez pas votre certificat, cochez la case Afficher Tous les Certificats.
- Cliquez sur Enregistrer.
Pour configurer dans Policy Manager un nouveau tunnel Mobile VPN with L2TP afin qu'il utilise des certificats :
- Sélectionnez VPN > Mobile VPN > L2TP > Activer.
L'assistant Mobile VPN with L2TP Setup Wizard s'ouvre. - Pour obtenir des instructions sur l'utilisation de l'assistant, voir Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard.
- Sur la page Sélectionnez la méthode d'authentification de tunnel, sélectionnez Utiliser un certificat IPSec et sélectionnez un certificat RSA dans la liste. Si vous ne voyez pas votre certificat, cochez la case Afficher Tous les Certificats.
- Terminez l'Assistant.
Pour configurer dans Policy Manager un tunnel Mobile VPN with L2TP afin qu'il utilise des certificats d'authentification :
- Sélectionnez VPN > Mobile VPN > L2TP > Configurer.
La boîte de dialogue Configuration de Mobile VPN with L2TP apparaît. - Sélectionnez l'onglet IPSec.
- Sélectionnez Utiliser un certificat IPSec et sélectionnez un certificat RSA dans la liste. Si vous ne voyez pas votre certificat, cochez la case Afficher Tous les Certificats.
- Cliquez sur OK.
Pour plus d'informations sur les Mobile VPN with L2TP, voir Mobile VPN with L2TP.
Vérifier les Certificats VPN à partir d'un Serveur LDAP
Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour l'authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d'autorité de certification tiers pour utiliser cette fonctionnalité.
Pour vérifier les certificats VPN avec un serveur LDAP dans Fireware Web UI :
- Sélectionnez VPN > Paramètres Globaux.
La page Paramètres VPN Globaux s'affiche.
- Cochez la case Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse IP du serveur LDAP.
- (Facultatif) Entrez ou sélectionnez le numéro de port.
- Cliquez sur OK.
Votre Firebox vérifie la Liste de Révocation de Certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.
Pour vérifier les certificats VPN avec un serveur LDAP dans Policy Manager :
- Dans Policy Manager, sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN apparaît.
- Cochez la case Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse IP du serveur LDAP.
- (Facultatif) Entrez ou sélectionnez le numéro de port.
- Cliquez sur OK.
Votre Firebox vérifie la Liste de Révocation de Certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.
Voir Également
Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard
Configurer l'autorité de certification sur Management Server