Créer le profil des correspondants VPN IPsec

Dans le module Configuration > VPN > VPN IPsec > onglet Correspondants :

1. Cliquez sur Ajouter.
2. Sélectionnez Nouveau correspondant mobile.
3. Donnez un nom à la configuration nomade (mobile_IKEv2_EAP_CERT dans l'exemple), choisissez IKEv2 dans le champ Version IKE, puis cliquez sur Suivant.
4. Pour Type d'authentification, choisissez EAP-Generic Token Card (GTC) puis cliquez sur Suivant.
5. Dans le champ Certificat, sélectionnez le certificat présenté par le firewall pour établir les tunnels avec ces correspondants mobiles (FW-EAP-IKEv2.stormshield.eu dans cet exemple).
6. Dans le tableau Groupes, cliquez sur Ajouter et sélectionnez le(s) groupe(s) d'utilisateurs nomades utilisant ce profil de correspondant (groupe EAP-GTC-CERT Users dans l'exemple).
7. Cliquez sur Suivant.
8. Validez en cliquant sur Terminer.
9. Sélectionnez le correspondant précédemment créé et remplissez le champ Local ID.
   Il s'agit en général du nom DNS (FQDN) du firewall présent dans son certificat. Dans cet exemple : FW-EAP-IKEv2.stormshield.eu.
10. Cliquez sur Appliquer puis sur Sauvegarder.
11. Cliquez sur Oui, activer la politique.
    

Le profil des correspondants mobiles IPsec obtenu est donc le suivant :

Ajouter la CA ayant signé le certificat du firewall dans les autorités de confiance

NOTE
Si la CA provient d'une PKI externe, son certificat devra au préalable être importé dans le module Certificats et PKI du firewall.

Dans le module Configuration > VPN > VPN IPsec > onglet Identification :

1. Dans le tableau Autorités de certification acceptées, cliquez sur le bouton Ajouter.
2. Sélectionnez la CA ayant signé le certificat du firewall (EAP-IKEv2 dans cet exemple).
3. Cliquez sur Appliquer puis sur Sauvegarder pour enregistrer cette modification.