Temas Relacionados

Certificados para Autenticación de Túneles VPN para Sucursales (BOVPN)

Cuando se crea un túnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo con una clave precompartida (PSK) o con un certificado importado y almacenado en el Firebox.

Cuando agregue una nueva puerta de enlace BOVPN y seleccione el método de credencial de certificado, verá una lista de certificados que incluyen el identificador de Uso de Clave Extendida (EKU) conocido como “IKE intermedio de seguridad de IP” (OID 1.3.6.1.5.5.8.2.2). Un identificador EKU especifica el propósito del certificado.

Un Firebox que usa Fireware v11.11.4 o superior también permite seleccionar un certificado que no incluye un identificador EKU. Para ver los certificados disponibles que no incluyen un identificador EKU, seleccione Mostrar Todos los Certificados. Para obtener más información acerca de los certificados VPN, consulte el RFC 4945.

Para usar un certificado para autenticación del túnel BOVPN, desde la Fireware Web UI:

Seleccione VPN > VPN de Sucursales.
En la sección Puertas de Enlace , haga clic en Agregar para crear una puerta de enlace nueva.
O seleccione una puerta de enlace existente y haga clic en Editar.
SeleccioneUsar Certificado Firebox IPSec.
Se muestran los certificados en el dispositivo que incluyen el identificador de Uso de Clave Extendida (EKU) “IKE intermedio de seguridad de IP (OID 1.3.6.1.5.5.8.2.2)”.
Para ver otros certificados disponibles, seleccione Mostrar Todos los Certificados.
Se muestran todos los certificados disponibles. Esto incluye los certificados sin EKU.
Seleccione el certificado que desea usar.
Defina otros parámetros, según sea necesario.
Haga clic en Guardar.

Si usa un certificado para autenticación de BOVPN, desde la Fireware Web UI:

Para obtener más información, consulte Administrar Certificados del Dispositivo (Web UI).
El certificado debe ser reconocido como un certificado de tipo IPSec.
Asegúrese de que los certificados para los dispositivos en cada extremo de la puerta de enlace usen el mismo algoritmo. Ambos extremos deben usar DSS o RSA. El algoritmo para certificados aparece en la página VPN de Sucursales en la lista Puerta de Enlace.
Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en un WatchGuard Management Server.

Para usar un certificado para autenticación del túnel BOVPN, desde Policy Manager:

Seleccione VPN > Puertas de Enlace de Sucursal.
Haga clic en Agregar para crear una nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
SeleccioneUsar IPSec Firebox Certificate.
Se muestran los certificados en el dispositivo que incluyen el identificador de Uso de Clave Extendida (EKU) “IKE intermedio de seguridad de IP (OID 1.3.6.1.5.5.8.2.2)”.
Para ver otros certificados disponibles, seleccione Mostrar Todos los Certificados.
Se muestran todos los certificados disponibles. Esto incluye los certificados sin EKU.
Seleccione el certificado que desea usar.
Defina otros parámetros, según sea necesario.
Haga clic en Aceptar.

Si usa un certificado para autenticación de BOVPN, desde Policy Manager:

Primero debe importar el certificado.
Para obtener más información, consulte Administrar Certificados del Dispositivo (WSM).
El certificado debe ser reconocido como un certificado de tipo IPSec.
Asegúrese de que los certificados para los dispositivos en cada extremo de la puerta de enlace usen el mismo algoritmo. Ambos extremos deben usar DSS o RSA. El algoritmo aparece en la tabla en el cuadro de diálogo Nueva Puerta de Enlace en WatchGuard System Manager y en el cuadro de diálogo Certificados en Firebox System Manager.
Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en un WatchGuard Management Server.
Para obtener más información, consulte Configurar la Autoridad de Certificación en el Management Server.

Verificar el certificado

Para verificar un certificado, desde la Fireware Web UI:

Seleccione Sistema > Certificados.
Aparece la página Certificados.
En la columna Tipo, verifique que aparezca IPSec o IPSec/Web.

Para verifiar un certificado, en Fireware System Manager:

Seleccione Ver > Certificados.
Aparece el cuadro de diálogo Certificados.
En la columna Tipo, verifique que aparezca IPSec o IPSec/Web.

Verificar los Certificados de VPN con un Servidor de LDAP

Puede usar un servidor de LDAP para verificar automáticamente certificados usados para la autenticación de VPN si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de terceros para usar esta característica.

Para verificar un certificado, desde la Fireware Web UI:

Seleccione VPN > Configuración Global.
Aparece la página Configuraciones Globales de VPN.

Captura de pantalla de la página Configuración Global de VPN.

Seleccione la casilla de verificación Habilitar servidor de LDAP para la verificación de certificado.
En el cuadro de texto Servidor, ingrese el nombre o la dirección del servidor LDAP.
(Opcional) Ingrese el número de Puerto.
Guardar la configuración.
Su Firebox verifica la CRL almacenada en el servidor de LDAP cuando se solicita la autenticación del túnel.

Para verificar un certificado, desde Policy Manager:

Seleccione VPN > Configuración de VPN.
Aparece el cuadro de diálogo Configuración de VPN.

Captura de pantalla del cuadro de diálogo Configuraciones de VPN

Seleccione la casilla de verificación Habilitar servidor de LDAP para la verificación de certificado.
En el cuadro de texto Servidor, ingrese el nombre o la dirección del servidor LDAP.
(Opcional) Ingrese el número de Puerto.
Guardar la configuración.
Su Firebox verifica la CRL almacenada en el servidor de LDAP cuando se solicita la autenticación del túnel.

Ver también

Acerca de los Certificados

Configurar Puertas de Enlace BOVPN Manuales

Danos tu Opinión • Obtener Soporte • Toda la Documentación del Producto • Búsqueda Técnica