Installer le client VPN SSL Stormshield

NOTE
Pour plus d’informations concernant les solutions VPN proposées par Stormshield et leur paramétrage (VPN IPsec - VPN SSL), nous vous invitons à consulter la page Focus - Topologies VPN.

Cette section explique comment installer le client VPN SSL Stormshield de manière classique avec le programme d'installation, via une stratégie de groupe (GPO) ou via un script.

NOTE
Le retour à une version précédente du client VPN SSL Stormshield n'est pas supporté. De plus, une fois le client VPN SSL installé, assurez-vous qu'il dispose d'un accès à la zone de notification de la barre des tâches sous Windows 11. Pour plus d'informations, reportez-vous à la section Limitations et précisions sur les cas d'utilisation des Notes de version SSL VPN Client.

Télécharger le client VPN SSL Stormshield

Le programme d'installation du client VPN SSL Stormshield est disponible dans deux formats :

Format Description
.exe

Un seul fichier exécutable regroupant toutes les langues et les versions de Windows supportées. À utiliser pour une installation classique ou un déploiement via un script.

.msi

Plusieurs packages .msi disponibles selon les langues et les versions de Windows supportées. À utiliser pour un déploiement via une stratégie de groupe (GPO) ou via un script.

Vous pouvez télécharger le client VPN SSL Stormshield au format souhaité depuis :

  • Le site Stormshield VPN SSL.

    Connectez-vous à l'adresse https://vpn.stormshield.eu/ et suivez les indications.

  • Votre espace MyStormshield.

    Connectez-vous à votre espace MyStormshield et rendez-vous dans Téléchargements > Téléchargements > Stormshield Network Security > VPN SSL.

  • Le portail captif du firewall SNS hébergeant le service VPN SSL.

    En étant connecté sur le réseau de l'entreprise, authentifiez-vous à l'adresse https://adresseIP_du_firewall/auth, puis dans l'onglet Données personnelles, cliquez sur VPN SSL Client.

Vous pouvez vérifier l'intégrité des binaires récupérés grâce à l'une des commandes suivantes :

  • Système d'exploitation Linux :

    sha256sum <filename>

  • Système d'exploitation Windows :

    CertUtil -hashfile <filename> SHA256

Comparez le résultat obtenu avec l'empreinte (hash) indiquée sur le site Stormshield VPN SSL ou dans votre espace MyStormshield dans la colonne SHA256 du tableau des téléchargements.

Installer le client VPN SSL Stormshield avec le programme d'installation .exe

Vous devez être administrateur local du poste de travail ou fournir le nom et le mot de passe d’un compte administrateur pour installer le client VPN SSL Stormshield.

  1. Connectez-vous à la session utilisateur sur laquelle installer le client VPN SSL Stormshield.

  2. Exécutez le programme d'installation (fichier .exe) téléchargé au préalable.
  3. Suivez les étapes de l’assistant d’installation.

    Vous pouvez personnaliser les paramètres à utiliser par défaut pour se connecter au VPN :

    • L'adresse IP ou le FQDN du firewall,

    • Si la configuration VPN est récupérée avec le mode automatique,

    • Si une authentification multifacteur est utilisée,

    • Si l'utilisateur Windows de la session en question est utilisé comme identifiant.

Fenêtre d'import de fichier ovpn sur OpenVPN Connect pour Windows

Déployer le client VPN SSL Stormshield via une stratégie de groupe (GPO)

Vous pouvez déployer directement le package .msi téléchargé au préalable ou le modifier pour faciliter la connexion des utilisateurs au VPN SSL en personnalisant certains paramètres.

Créer un package .mst pour personnaliser les paramètres à utiliser par défaut pour se connecter au VPN

Vous pouvez personnaliser les paramètres suivants :

  • L'adresse IP ou le FQDN du firewall,

  • Si la configuration VPN est récupérée avec le mode automatique,

  • Si une authentification multifacteur est utilisée,

  • Si l'utilisateur Windows de la session en question est utilisé comme identifiant.

Pour créer le package .mst :

  1. Depuis un poste de travail disposant de l'outil Microsoft Orca, accédez au dossier où se trouve le package .msi du client VPN SSL Stormshield, faites un clic-droit et choisissez Edit with Orca.

  2. Cliquez sur Transform > New Transform.

  3. Sélectionnez la table Property.

  4. Pour que l'utilisateur Windows de la session en question soit utilisé comme identifiant, indiquez dans le champ Value de la propriété USE_DEFAULT_USERNAMEU la valeur 1.

  5. Pour que le client VPN SSL utilise par défaut le mode manuel, indiquez dans le champ Value de la propriété AUTOMATIC_MODE la valeur 0,

  6. Pour personnaliser l'adresse IP ou le FQDN du firewall :

    1. Faites un clic droit et choisissez Add Row.

    2. Dans le champ Property, indiquez DEFAULT_ADDRESS.

    3. Dans le champ Value, indiquez l'adresse IP ou le FQDN du firewall.

    4. Cliquez sur OK.

  7. Pour indiquer si une authentification multifacteur doit être utilisée :

    1. Faites un clic droit et choisissez Add Row.

    2. Dans le champ Property, indiquez ENABLE_OTP.

    3. Dans le champ Value, indiquez 1 pour utiliser une authentification multifacteur ou 0 pour ne pas l'utiliser.

    4. Cliquez sur OK.

  8. Cliquez sur Transform > Generate Transform.

  9. Enregistrez le package .mst dans le même répertoire que le package .msi.

Configurer le déploiement par GPO

  1. Sur le contrôleur de domaine, lancez le gestionnaire de serveur.

  2. Dans la barre supérieure de menu, cliquez sur Outils > Gestion des stratégies de groupe.

  3. Dans la liste de gauche, faites un clic droit sur le nom du domaine Microsoft Active Directory et sélectionnez Créer un objet GPO dans ce domaine, et le lier ici....

  4. Nommez la GPO et cliquez sur OK.

  5. Dans la liste de gauche, faites un clic droit sur le nom de la GPO que vous venez de créer et sélectionnez Modifier.

    La fenêtre d'édition de la GPO s'ouvre.

  6. Dans le menu de gauche de la GPO, dépliez le menu Configuration ordinateur > Stratégies > Paramètres du logiciel.

  7. Faites un clic droit sur Installation de logiciel, sélectionnez Nouveau > Package, puis sélectionnez le package msi d'installation du client VPN SSL Stormshield.

  8. Choisissez le mode Avancé et cliquez sur OK.

    La fenêtre d'édition de la GPO s'ouvre.

  9. Vous pouvez renommer cette instance d'installation si vous le souhaitez.

  10. Dans l'onglet Modifications, vous pouvez associer le package .mst précédemment créé à la GPO d'installation du client VPN SSL Stormshield. Pour cela, cliquez sur Ajouter..., sélectionnez le package .mst et cliquez sur Ouvrir.

  11. Cliquez sur OK.

L'installation est automatique lorsqu'un poste de travail se connecte au réseau de l’entreprise.

Déployer le client VPN SSL Stormshield via un script

  1. Ouvrez une invite de commande en tant qu'administrateur.

  2. Allez dans le dossier où se trouve le fichier .exe ou le package .msi téléchargé au préalable.

  3. Tapez la commande correspondante :

    • Pour un fichier .exe :

      Stormshield_SSLVPN_Client_4.X.Y_x64.exe [PARAMETERS]

    • Pour un package .msi :

      msiexec /i Stormshield_SSLVPN_Client_4.X.Y_language_x64.msi [PARAMETERS] /qn

    Vous pouvez faciliter la connexion des utilisateurs au VPN SSL en complétant la commande avec les paramètres suivants :

    • DEFAULT_ADDRESS=[adresse IP ou FQDN du firewall],

    • AUTOMATIC_MODE=[0 pour le mode manuel, 1 pour le mode automatique],

    • USE_DEFAULT_USERNAME=[0 pour que le champ reste vide, 1 pour que l'utilisateur Windows de la session en question soit utilisé comme identifiant],

    • ENABLE_OTP=[0 pour ne pas utiliser une authentification multifacteur, 1 pour en utiliser une].

  4. Exécutez la commande.

Exemple de commande permettant de déployer le fichier .exe :

Stormshield_SSLVPN_Client_4.0.0_x64.exe DEFAULT_ADDRESS=vpn.company.tld

Exemple de commande permettant de déployer un package .msi :

msiexec /i Stormshield_SSLVPN_Client_4.0.0_en_x64.msi DEFAULT_ADDRESS=vpn.company.tld AUTOMATIC_MODE=1 ENABLE_OTP=0 /qn

L'installation est automatique lorsqu'un poste de travail se connecte au réseau de l’entreprise. Une invite de commande s'affiche sur le bureau et une barre de progression indique l'état de l'installation.