Configurer une authentification avec certificat utilisateur

Cette section explique comment configurer une authentification avec certificat utilisateur pour établir des tunnels VPN SSL avec le firewall SNS.

Prérequis

  • Disposer d'un firewall SNS en version 5.0.1 ou supérieure.
  • Disposer de clients VPN SSL Stormshield en version 5.1.1 ou supérieure. Notez que les clients VPN SSL tiers, comme OpenVPN Connect, ne sont pas compatibles.
  • Avoir configuré le service VPN SSL dans le module VPN SSL du firewall SNS. Cette configuration est décrite dans les sections suivantes.
  • Avoir configuré la méthode Certificat SSL dans le module Authentification > Méthodes disponibles du firewall SNS. Pour plus d'informations, reportez-vous à la section Authentification > Onglet Méthodes disponibles > Certificat (SSL) du manuel utilisateur v4 ou du manuel utilisateur v5 selon la version SNS utilisée.
  • Avoir créé des règles permettant aux utilisateurs de s'authentifier via la méthode Certificat SSL dans le module Authentification > Politique d'authentification du firewall SNS. Adaptez les informations de la section Configurer la politique d'authentification pour cela.
  • Avoir installé sur le poste de travail des utilisateurs concernés leur certificat. Vous pouvez télécharger l'identité utilisateur du certificat au format P12 dans le module Objets > Certificats et PKI du firewall SNS.

Établir un tunnel VPN SSL en utilisant l'authentification avec certificat utilisateur

Vous devez au préalable avoir sélectionné le Mode Stormshield et coché la case Se connecter avec l'authentification unique dans les informations de la connexion sur le client VPN SSL Stormshield.

Écran montrant la fenêtre d'ajout d'une connexion enregistrée du client VPN SSL Stormshield v5. La case Se connecter avec l'authentification unique est encadrée.

  1. Établissez le tunnel VPN SSL dans le menu de votre choix du client VPN SSL Stormshield.

  2. Sur le portail d'authentification qui s'ouvre automatiquement dans votre navigateur Web, suivez les étapes pour vous authentifier.

    Écran montrant la fenêtre de choix du certificat à utiliser pour s'authentifier

  3. Une fois l'authentification réussie, patientez pendant que le client VPN SSL Stormshield établisse le tunnel VPN SSL.

Une fois le tunnel VPN SSL établi, une date d'expiration s'affiche dans le menu Connexions enregistrées ou Connexion directe, selon si la connexion établie est enregistrée ou non. Tant que cette date d'expiration n'est pas atteinte, vous pouvez établir le tunnel VPN SSL sans avoir besoin de vous authentifier de nouveau.

Limitations connues

Incompatibilité TLS 1.3

Avec la version SNS 5.0.2, l'authentification avec certificat utilisateur n'est pas prise en charge via TLS 1.3. Cette limitation sera corrigée dans une prochaine version SNS.

Des solutions de contournement existent selon le navigateur Web utilisé par vos utilisateurs :

  • Pour Firefox, activez le paramètre suivant dans la configuration de Firefox :

    security.tls.enable_post_handshake_auth

  • Pour les autres navigateurs tels que Chrome ou Edge, vous devez forcer le portail captif du firewall SNS à utiliser TLS 1.2. Pour cela, exécutez les commandes suivantes en SSH sur le firewall SNS :

    setconf /usr/Firewall/ConfigFiles/auth Config TLSv13 0
    ensl

Saisie du nom d'utilisateur lors de l'authentification

L'utilisateur doit actuellement renseigner sur le portail captif son nom d'utilisateur avant de pouvoir sélectionner le certificat à utiliser pour s'authentifier. Cette limitation sera améliorée dans une prochaine version SNS.