Rubriques Connexes
Certificats pour l'authentification des tunnels Branch Office VPN (BOVPN)
Lorsqu'un tunnel BOVPN est créé, le protocole IPSec contrôle l'identité de chaque point de terminaison à l'aide d'une clé pré-partagée (PSK) ou d'un certificat importé ou stocké sur périphérique Firebox.
Lorsque vous ajoutez une passerelle BOVPN et que vous sélectionnez la méthode d'identification du certificat, vous voyez une liste de certificats qui comprend l'identifiant Extended Key Usage (EKU) appelé « Sécurité IP IKE intermédiaire » (OID 1.3.6.1.5.5.8.2.2). Un identifiant EKU spécifie le but du certificat.
Pour un Firebox qui utilise Fireware v11.11.4 ou les versions ultérieures, vous pouvez aussi sélectionner un certificat qui ne comprend pas un identifiant EKU. Pour voir une liste des certificats disponibles qui ne comprennent pas un identifiant EKU, sélectionnez Afficher Tous les Certificats. Pour plus d'informations sur les certificats VPN, consultez RFC 4945.
Pour utiliser un certificat pour l'authentification d'accès au tunnel BOVPN dans Fireware Web UI:
- Sélectionnez VPN > Branch Office VPN.
- Dans la section Passerelles , cliquez sur Ajouter, pour créer une nouvelle passerelle.
Sinon, sélectionnez une passerelle existante et cliquez sur Modifier. - Sélectionnez Utiliser le Firebox Certificate IPSec.
Tous les certificats sur le périphérique qui comprennent l'identifiant Extended Key Usage (EKU) « Sécurité IP IKE intermédiaire » (OID 1.3.6.1.5.5.8.2.2) s'affichent. - Pour voir les autres certificats disponibles, sélectionnez Afficher Tous les Certificats.
Tous les certificats disponibles s'affichent. Y compris les certificats qui n'ont pas un EKU. - Sélectionnez le certificat que vous souhaitez utiliser.
- Définissez d'autres paramètres si nécessaire.
- Cliquez sur Sauvegarder.
Si vous utilisez un certificat pour l'authentification BOVPN dans Fireware Web UI:
- Pour plus d'informations, voir Gérer les Certificats de Périphérique (Web UI).
- Le certificat doit être reconnu en tant que certificat de type IPSec.
- Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle utilisent le même algorithme (à savoir DSS ou RSA). L'algorithme de certificats apparaît sur la page Branch Office VPN page dans la liste Passerelle.
- En l'absence d'un certificat tiers ou autosigné, vous devez utiliser l'autorité de certification sur un serveur WatchGuard Management Server.
Pour utiliser un certificat pour l'authentification d'accès au tunnel BOVPN dans Policy Manager:
- Sélectionnez VPN > Passerelles Branch Office.
- Cliquez sur Ajouter pour ajouter une nouvelle passerelle.
Sinon, sélectionnez une passerelle existante et cliquez sur Modifier. - Sélectionnez Utiliser le Firebox Certificate IPSec.
Tous les certificats sur le périphérique qui comprennent l'identifiant Extended Key Usage (EKU) « Sécurité IP IKE intermédiaire » (OID 1.3.6.1.5.5.8.2.2) s'affichent. - Pour voir les autres certificats disponibles, sélectionnez Afficher Tous Les Certificats.
Tous les certificats disponibles s'affichent. Ceci inclut les certificats qui n'ont pas un EKU. - Sélectionnez le certificat que vous souhaitez utiliser.
- Définissez d'autres paramètres si nécessaire.
- Cliquez sur OK.
Si vous utilisez un certificat pour l'authentification BOVPN dans Policy Manager :
- Vous devez d'abord importer le certificat.
Pour plus d'informations, voir Gérer les Certificats de Périphérique (WSM). - Le certificat doit être reconnu en tant que certificat de type IPSec.
- Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle utilisent le même algorithme (à savoir DSS ou RSA). L'algorithme des certificats est affiché dans le tableau figurant sur la boîte de dialogue Nouvelle Passerelle dans WatchGuard System Manager, et dans la boîte de dialogue Certificats de Firebox System Manager.
- En l'absence d'un certificat tiers ou autosigné, vous devez utiliser l'autorité de certification sur un serveur WatchGuard Management Server.
Pour plus d'informations, voir Configurer l'autorité de certification sur Management Server.
Vérifier le Certificat
Pour contrôler un certificat dans Fireware Web UI :
- Sélectionnez Système > Certificats.
La page Certificats s'ouvre. - Dans la colonne Type, assurez-vous que IPSec ou IPSec/Web apparaît.
Pour vérifier un certificat, dans Fireware System Manager :
- Sélectionnez Affichage > Certificats.
La boîte de dialogue Certificats s'affiche. - Dans la colonne Type, assurez-vous que IPSec ou IPSec/Web apparaît.
Vérifier les certificats VPN à partir d'un serveur LDAP
Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour l'authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d'autorité de certification tiers pour utiliser cette fonctionnalité.
Pour contrôler un certificat dans Fireware Web UI :
- Sélectionnez VPN > Paramètres Globaux.
La page Paramètres VPN globaux s'affiche.
- Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse du serveur LDAP.
- (Facultatif) Entrez le numéro de Port.
- Enregistrez la configuration.
Votre Firebox vérifie la Liste de Révocation de Certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.
Pour contrôler un certificat dans Policy Manager:
- Sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN apparaît.
- Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats.
- Dans la zone de texte Serveur, entrez le nom ou l'adresse du serveur LDAP.
- (Facultatif) Entrez le numéro de Port.
- Enregistrez la configuration.
Votre Firebox vérifie la Liste de Révocation de Certificats (CRL) stockée sur le serveur LDAP lorsqu’une authentification de tunnel est demandée.