Utiliser une authentification avec certificat utilisateur
Cette section explique comment utiliser une authentification avec certificat utilisateur pour établir des tunnels VPN SSL avec le firewall SNS. Si vous ne souhaitez pas utiliser une authentification avec certificat utilisateur, poursuivez vers la section suivante.
Cette authentification permet aux utilisateurs d'établir des tunnels VPN SSL en s'authentifiant sur le firewall SNS avec leur certificat utilisateur.
Prérequis
Pour utiliser l'authentification avec certificat utilisateur, vous devez vous conformer aux prérequis suivants :
- Disposer d'un firewall SNS en version 5.
- Disposer de clients VPN SSL Stormshield en version 5. Les versions antérieures du client VPN SSL Stormshield et les clients VPN SSL tiers, comme OpenVPN Connect, ne sont pas compatibles.
- Avoir activé et configuré la méthode Certificat SSL dans le module Authentification > Méthodes disponibles du firewall SNS. Pour plus d'informations, reportez-vous à la section Authentification > Onglet Méthodes disponibles > Certificat (SSL) du manuel utilisateur v4 ou du manuel utilisateur v5 selon la version SNS utilisée.
- Avoir créé des règles permettant aux utilisateurs de s'authentifier via la méthode Certificat SSL dans le module Authentification > Politique d'authentification du firewall SNS. Adaptez les informations de la section Configurer la politique d'authentification pour réaliser cette configuration.
- Avoir activé et configuré le service VPN SSL dans le module VPN SSL du firewall SNS. Cette configuration est décrite dans les sections suivantes.
- Avoir installé sur le poste de travail des utilisateurs concernés leur certificat. Vous pouvez télécharger l'identité utilisateur du certificat au format P12 dans le module Objets > Certificats et PKI du firewall SNS.
Établir un tunnel VPN SSL en utilisant l'authentification avec certificat utilisateur
Sur le client VPN SSL Stormshield, la connexion (enregistrée ou directe) doit être établie avec les paramètres suivants :
- Le Mode Stormshield doit être sélectionné. Les connexions de type OpenVPN (import de fichier OVPN) ne sont pas compatibles.
- La case Se connecter avec l'authentification unique doit être cochée.
Une fois l'établissement du tunnel VPN SSL initié, le portail captif du firewall SNS s'ouvre automatiquement dans le navigateur Web de l'utilisateur. Ce dernier s'authentifie sur le portail en suivant les étapes.
Une fois authentifié, le tunnel VPN SSL est établi. La date d’expiration de l'authentification de l'utilisateur s'affiche dans l'interface graphique du client VPN SSL Stormshield. Tant que cette date n'est pas atteinte et que l'authentification est toujours effective sur le firewall SNS, l'utilisateur n'a pas besoin de s'authentifier de nouveau pour établir le tunnel VPN SSL.
Pour plus d'informations, reportez-vous à la section Établir une connexion sécurisée du Guide de configuration et d'utilisation du client VPN SSL Stormshield v5.
Limitations connues
Incompatibilité TLS 1.3
Avec la version SNS 5.0.2, l'authentification avec certificat utilisateur n'est pas prise en charge via TLS 1.3. Cette limitation sera corrigée dans une prochaine version SNS.
Des solutions de contournement existent selon le navigateur Web utilisé par vos utilisateurs :
-
Pour Firefox, activez le paramètre suivant dans la configuration de Firefox :
security.tls.enable_post_handshake_auth
-
Pour les autres navigateurs tels que Chrome ou Edge, vous devez forcer le portail captif du firewall SNS à utiliser TLS 1.2. Pour cela, exécutez les commandes suivantes en SSH sur le firewall SNS :
setconf /usr/Firewall/ConfigFiles/auth Config TLSv13 0
ensl
Saisie du nom d'utilisateur lors de l'authentification
L'utilisateur doit actuellement renseigner sur le portail captif son nom d'utilisateur avant de pouvoir sélectionner le certificat à utiliser pour s'authentifier. Cette limitation sera améliorée dans une prochaine version SNS.