Configurer une authentification avec certificat utilisateur

Cette section explique comment configurer une authentification avec certificat utilisateur pour établir des tunnels VPN SSL avec le firewall SNS.

Prérequis

  • Disposer d'un firewall SNS en version 5.0.1 ou supérieure.
  • Disposer de clients VPN SSL Stormshield en version 5.1.1 ou supérieure. Notez que les clients VPN SSL tiers, comme OpenVPN Connect, ne sont pas compatibles.
  • Avoir configuré le service VPN SSL dans le module VPN SSL du firewall SNS. Cette configuration est décrite dans les sections suivantes.
  • Avoir configuré la méthode Certificat SSL dans le module Authentification > Méthodes disponibles du firewall SNS. Pour plus d'informations, reportez-vous à la section Authentification > Onglet Méthodes disponibles > Certificat (SSL) du manuel utilisateur v4 ou du manuel utilisateur v5 selon la version SNS utilisée.
  • Avoir créé des règles permettant aux utilisateurs de s'authentifier via la méthode Certificat SSL dans le module Authentification > Politique d'authentification du firewall SNS. Adaptez les informations de la section Configurer la politique d'authentification pour cela.
  • Avoir installé sur le poste de travail des utilisateurs concernés leur certificat. Vous pouvez télécharger l'identité utilisateur du certificat au format P12 dans le module Objets > Certificats et PKI du firewall SNS.

Établir un tunnel VPN SSL en utilisant l'authentification avec certificat utilisateur

Dans le menu Connexions enregistrées

Vous devez au préalable avoir sélectionné le Mode Stormshield et coché la case Se connecter avec l'authentification unique dans les informations de la connexion enregistrée.

Dans le cadre d'une connexion enregistrée, l'étiquette "Authentification unique" indique que la case Se connecter avec l'authentification unique a été cochée.

Écran montrant le menu Connexions enregistrées du client VPN SSL Stormshield v5. L'étiquette Authentification unique est encadrée.

  1. Cliquez sur Se connecter dans le cadre de la connexion enregistrée concernée.

  2. Sur le portail d'authentification qui s'ouvre automatiquement dans votre navigateur Web, suivez les étapes pour vous authentifier.

    Écran montrant la fenêtre de choix du certificat à utiliser pour s'authentifier

  3. Patientez pendant que le client VPN SSL Stormshield établisse le tunnel VPN SSL.

Une fois le tunnel VPN SSL établi, la date d'expiration de votre authentification s'affiche. Tant que cette date d'expiration n'est pas atteinte, vous pouvez établir le tunnel VPN SSL sans avoir besoin de vous authentifier de nouveau.

Image d'un cadre d'une connexion enregistrée. Un utilisateur est actuellement authentifié.

Dans le menu Connexion directe

  1. Sélectionnez le Mode Stormshield.

  2. Cochez la case Se connecter avec l'authentification unique.

    Écran montrant le menu Connexion directe du client VPN SSL Stormshield v5. La case Se connecter avec l'authentification unique est cochée.

  3. Cliquez sur Se connecter.

  4. Sur le portail d'authentification qui s'ouvre automatiquement dans votre navigateur Web, suivez les étapes pour vous authentifier.

    Écran montrant la fenêtre de choix du certificat à utiliser pour s'authentifier

  5. Patientez pendant que le client VPN SSL Stormshield établisse le tunnel VPN SSL.

Une fois le tunnel VPN SSL établi, la date d'expiration de votre authentification s'affiche. Tant que cette date d'expiration n'est pas atteinte, vous pouvez établir le tunnel VPN SSL sans avoir besoin de vous authentifier de nouveau.

Image du menu Connexion directe.Un utilisateur est actuellement authentifié.

Limitations connues

Incompatibilité TLS 1.3

Avec la version SNS 5.0.2, l'authentification avec certificat utilisateur n'est pas prise en charge via TLS 1.3. Cette limitation sera corrigée dans une prochaine version SNS.

Des solutions de contournement existent selon le navigateur Web utilisé par vos utilisateurs :

  • Pour Firefox, activez le paramètre suivant dans la configuration de Firefox :

    security.tls.enable_post_handshake_auth

  • Pour les autres navigateurs tels que Chrome ou Edge, vous devez forcer le portail captif du firewall SNS à utiliser TLS 1.2. Pour cela, exécutez les commandes suivantes en SSH sur le firewall SNS :

    setconf /usr/Firewall/ConfigFiles/auth Config TLSv13 0
    ensl

Saisie du nom d'utilisateur lors de l'authentification

L'utilisateur doit actuellement renseigner sur le portail captif son nom d'utilisateur avant de pouvoir sélectionner le certificat à utiliser pour s'authentifier. Cette limitation sera améliorée dans une prochaine version SNS.