Générer les identités des correspondants mobiles

Cette section traite de la création des identités des utilisateurs nomades.

Elle suppose que les comptes des utilisateurs nomades sont déjà définis dans l'annuaire de référence pour le VPN IPsec (annuaire LDAP interne du firewall dans cet exemple).

Cas d'une PKI externe

Depuis l'autorité de certification (CA) en charge des identités des correspondants mobiles IPsec :

  1. Générez les identités de tous les correspondants mobiles IPsec.
  2. Exportez ces identités (certificat + clé privée).
  3. Téléchargez l'identité de chaque correspondant mobile sur son poste de travail.

Cas d'une PKI interne (PKI sur un firewall SNS)

Si la CA en charge des identités des correspondants mobiles doit être créée

  1. Placez-vous dans le module Configuration > Objets > Certificats et PKI.
  2. Cliquez sur Ajouter
  3. Sélectionnez Autorité racine ou Sous-autorité si cette CA est placée sous une CA racine de votre PKI.
    Un assistant de création s'affiche.
  4. Indiquez un Nom (EAP-IKEv2 dans cet exemple).
    L'Identifiant se remplit automatiquement avec le nom de la CA. Vous pouvez le modifier.
  5. Renseignez les Attributs de l'autorité :
    • Organisation (O),
    • Unité d'organisation (OU),
    • Ville (L),
    • État (ST),
    • Pays (C).

EXEMPLE
Organisation (O) : Stormshield
Unité d'organisation (OU) : Documentation
Ville (L) : Lille
État (ST) : Nord
Pays (C) : France

  1. Cliquez sur Suivant.
  2. Renseignez puis confirmez le Mot de passe protégeant la CA.
  3. Vous pouvez indiquer une adresse E-mail de contact pour cette CA.
  4. La durée de Validité proposée par défaut est de 3650 jours (valeur conseillée).
    Vous pouvez la modifier.
  5. Type de clé : il est recommandé de sélectionner une clé de type SECP ou BRAINPOOL.
  6. Sélectionnez la Taille de clé (bits).
  7. Cliquez deux fois sur Suivant.
    Un résumé des informations de la CA est affiché.
  8. Validez en cliquant sur Terminer.

Si vous souhaitez définir cette CA comme CA par défaut du firewall :

  1. Sélectionnez cette CA,
  2. Cliquez sur le bouton Actions et choisissez Définir comme défaut.

Créer l'identité du firewall pour le VPN IPsec

Si l'identité du firewall utilisée pour le VPN IPsec n'existe pas :

  1. Placez-vous dans le module Configuration > Objets > Certificats et PKI.
  2. Sélectionnez la CA utilisée pour le VPN IPsec.
  3. Cliquez sur Ajouter et sélectionnez Identité serveur.
  4. Dans le champ Nom de domaine qualifié (FQCN), saisissez le nom pour l'identité du firewall (exemple : FW-EAP-IKEv2.stormshield.eu).
    L'Identifiant se remplit automatiquement avec le nom du correspondant. Vous pouvez le modifier.
  5. Cliquez sur Suivant.
  6. Renseignez le mot de passe de la CA signant cette identité.
  7. Cliquez sur Suivant.
  8. Sélectionnez une durée de validité en jours (365 jours proposés par défaut).
  9. Sélectionnez le Type de clé : il est recommandé de sélectionner une clé de type BRAINPOOL ou SECP.
  10. Sélectionnez une Taille de clé.
  11. Cliquez deux fois sur Suivant.
    Un résumé de l'identité s'affiche.
  12. Cliquez sur Terminer pour valider la création de cette identité utilisateur.

Créer l'identité de chacun des correspondants

  1. Placez-vous dans le module Configuration > Objets > Certificats et PKI.
  2. Sélectionnez la CA utilisée pour le VPN IPsec.
  3. Cliquez sur Ajouter et sélectionnez Identité utilisateur.
  4. Dans le champ Nom (CN), saisissez le nom du correspondant (exemple : User1 EAP).
    L'Identifiant se remplit automatiquement avec le nom du correspondant. Vous pouvez le modifier.
  5. Renseignez l'adresse e-mail du correspondant (user1@stormshield.eu dans cet exemple).
    6. NOTE
    Cette adresse e-mail doit être identique à celle définie pour le compte utilisateur utilisé pour la méthode EAP (annuaire interne dans cet exemple).
  6. Cliquez sur Suivant.
  7. Renseignez le mot de passe de la CA signant cette identité.
  8. Cliquez sur Suivant.
  9. Sélectionnez une durée de validité en jours (365 jours proposés par défaut).
  10. Sélectionnez le Type de clé : il est recommandé de sélectionner une clé de type BRAINPOOL ou SECP.
  11. Sélectionnez une Taille de clé.
  12. Cliquez sur Suivant.
    Un résumé de l'identité s'affiche.
  13. Cliquez sur Terminer pour valider la création de cette identité utilisateur.

Répétez cette procédure pour chacun des correspondants mobiles.

Exporter l'identité de chaque correspondant

  1. Placez-vous dans le module Configuration > Objets > Certificats et PKI.
  2. Sélectionnez l'identité utilisateur à exporter.
  3. Cliquez sur Télécharger : sélectionnez Identité puis Au format P12.
  4. Dans le champ Entrez le mot de passe : créez un mot de passe destiné à protéger le fichier P12.
  5. Confirmez ce mot de passe.
  6. Cliquez sur Télécharger le certificat (P12).
  7. Enregistrez ce fichier au format P12 sur votre poste de travail.
    Ce fichier devra être importé sur le poste de l'utilisateur lors du paramétrage de son tunnel dans SN VPN Client Exclusive.

Répétez cette procédure pour exporter l'identité de chaque correspondant mobile.

Supprimer les clés privées des identités des correspondants sur le firewall (recommandé)

Lorsque le fichier P12 a été importé sur le poste du correspondant, il est fortement recommandé de supprimer la clé privée de l'identité de ce correspondant.

  1. Placez-vous dans le module Configuration > Objets > Certificats et PKI.
  2. Sélectionnez l'identité du correspondant pour lequel vous voulez supprimer la clé privée.
  3. Cliquez sur Action : sélectionnez Supprimer la clé privée.
    La clé privée est immédiatement supprimée.

Répétez cette procédure pour chacun des correspondants concernés.