TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: www.thegreenbow.com Contact: support@thegreenbow.com



Documents pareils
Site Web : Contact : support@thegreenbow.com

Middleware eid v2.6 pour Windows

NETASQ CLIENT VPN IPSEC GUIDE DE DEPLOIEMENT

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Arkoon Security Appliances Fast 360

ScTools Outil de personnalisation de carte

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Certificats Electronique d AE sur Clé USB

Les infrastructures de clés publiques (PKI, IGC, ICP)

Le rôle Serveur NPS et Protection d accès réseau

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

NETASQ CLIENT VPN IPSEC GUIDE UTILISATEUR

COMMUNIQUER EN CONFIANCE

EJBCA Le futur de la PKI

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Guide d'installation du token

TABLE DES MATIERES...

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

Le modèle de sécurité windows

Comment installer un certificat de signature et de chiffrement pour Mozilla Thunderbird

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Guide de configuration de SQL Server pour BusinessObjects Planning

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

FANTEC DB-229US Manuel de l'utilisateur

Cahier Technique Envoi par à partir des logiciels V7.00

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Public Key Infrastructure (PKI)

Guide de l'agent de notification

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Du 03 au 07 Février 2014 Tunis (Tunisie)

contact@nqicorp.com - Web :

Gestion des certificats en Internet Explorer

Les certificats numériques

Certificats et infrastructures de gestion de clés

Présentation du SC101

Clear2Pay Belgium SA Solution B-web V4 Procédure d installation. Solution B-web V4. Procédure d installation. Clear2Pay Belgium SA Page 1 de 18

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

II- Préparation du serveur et installation d OpenVpn :

Configuration pour la connexion au réseau eduroam sous l environnement Windows XP (SP3) et Windows 7&8 au personnel de l IN2P3

Manuel d'utilisation d'apimail V3

La sécurité des Réseaux Partie 7 PKI

Début de la procédure

Préparer la synchronisation d'annuaires

Retrospect 7.7 Addendum au Guide d'utilisation

Gestion des licences Mia-Studio Manuel de l'utilisateur. - Procédure d'installation -

Installation de BOINC (pour Windows) La procédure reste néanmoins très similaire pour les utilisateurs de LINUX

La citadelle électronique séminaire du 14 mars 2002


PARAGON SYSTEM BACKUP 2010

Chapitre 2 Rôles et fonctionnalités

Version 2.2. Version 3.02

Capture Pro Software. Démarrage. A-61640_fr

Installation 1K-Serveur

TrueCrypt : installation et paramétrage

FORMATION WS0801. Centre de formation agréé

Security BOX Enterprise

FANTEC HDD-Sneaker MANUEL D'UTILISATION. Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Installation du client Cisco VPN 5 (Windows)

FreeNAS Shere. Par THOREZ Nicolas

INSTRUCTIONS D'INSTALLATION

Manuel d installation Version Evolution réseau Ciel Compta Ciel Gestion commerciale Ciel Associations

Gestion des utilisateurs et Entreprise Etendue

Projet Personnalisé Encadré PPE 2

Installation du client Cisco VPN 5 (Windows)

Installation de Windows 2000 Serveur

SafeGuard Enterprise Manuel d'administration. Version du produit : 7

Installation du client Cisco VPN 5 (Windows)

Comment installer l application Middleware (eid viewer)?

Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

SERVEUR DE MESSAGERIE

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

SafeGuard Easy Aide administrateur. Version du produit : 6

GUIDE D'UTILISATION: Comment installer la Renault Media Nav Toolbox? GUIDE D'UTILISATION: Comment créer une empreinte digitale de votre appareil sur

contact@nqicorp.com - Web :

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

Sécurisation des architectures traditionnelles et des SOA

Dispositions relatives à l'installation :

Mises à jour des logiciels Manuel de l'utilisateur

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

Architectures PKI. Sébastien VARRETTE

Configuration de l'accès distant

Installation DataExpert YellowbillAdapter (PostFinance)

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Installation de Windows 2003 Serveur

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Manuel d installation du pilote pour e-barreau Pour Windows XP Vista 7 avec FIREFOX 32/64bits

COMMENT INSTALLER LE SERVEUR QIPAIE

Guide d'installation du connecteur Outlook 4

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur. Version du produit : 5.60

Guide de mise à jour de Suite SAP Business Intelligence Patch 10.x

Sécurité WebSphere MQ V 5.3

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

LOGICIEL KIPICAM : Manuel d installation et d utilisation

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide utilisateur. Version du produit : 5.60

Transcription:

TheGreenBow IPsec VPN Client Guide de Déploiement Options PKI Site web: www.thegreenbow.com Contact: support@thegreenbow.com

Table des matières 1 Introduction...3 1.1 Références...3 2 Configuration du logiciel pour le déploiement...4 3 Options PKI...5 3.1 Caractérisation des cartes à puce ou tokens...5 3.2 Sélection du certificat sur la carte à puce ou token...5 3.3 Utilisation des certificats...5 4 Fichier VpnSetup.ini...7 4.1 Syntaxe...7 5 Fichier VpnConf.ini...8 5.1 Syntaxe...8 6 Options de ligne de commande de l'installation...10 7 Support...11 2

1 Introduction Ce document décrit les nouvelles fonctions du Client VPN TheGreenBow dédiées à l'intégration du Client VPN dans une PKI (Public Key Infrastructure) / IGC (Infrastructure de Gestion de Clés). Ces nouvelles fonctions permettent : de caractériser les cartes à puces et les tokens exploités par le logiciel Client VPN, de configurer la manière de sélectionner les certificats sur une carte à puce ou sur un token, de configurer l'utilisation des certificats avec le logiciel Client VPN. Ces nouvelles fonctions sont activables via la configuration des paramètres décrits dans ce document. Ces paramètres, appelés "Options PKI", sont configurables : Dans un fichier d'initialisation de l'installation du logiciel : VpnSetup.ini Via des options de ligne de commande de l'installation du logiciel Dans un fichier d'initialisation du logiciel une fois installé : VpnConf.ini Ces paramètres "Options PKI" sont aussi configurables intégralement via le Panneau de Configuration du logiciel Client VPN, comme décrit au chapitre "Gestion des Certificats (Options PKI)" du "Guide Utilisateur du Client VPN TheGreenBow". (référence : tgbvpn_ug_fr.pdf) Ce document s'attache toutefois à décrire toutes les possibilités de configuration de ces paramètres au cours du déploiement du logiciel. En ce sens, il s'adresse à l'administrateur réseau, plutôt qu'à l'utilisateur. Ce document est une extension du "Guide de Déploiement du Client VPN TheGreenBow'". 1.1 Références Intitulé Référence Adresse de téléchargement Guide Utilisateur tgbvpn_ug_fr.pdf www.thegreenbow.fr/vpn_doc.html du Client VPN TheGreenBow Guide de Déploiement du Client VPN TheGreenBow tgbvpn_ug_deployment_fr.pdf www.thegreenbow.fr/vpn_doc.html 3

2 Configuration du logiciel pour le déploiement Le Client VPN peut être configuré au cours de son installation et pour son premier lancement par les trois moyens suivants : 1/ Fichier d'initialisation accompagnant l'installation du logiciel : VpnSetup.ini 2/ Options de ligne de commande de l'installation 3/ Fichier d'initialisation du logiciel Client VPN à chaque lancement : VpnConf.ini Ces fichiers de déploiement doivent se situer dans les répertoires suivants : le fichier "VpnSetup.ini" doit être situé dans le même répertoire que celui dans lequel est exécutée l'installation du Client VPN : TheGreenBow_VPN_Client.exe le fichier "VpnConf.ini" doit être situé dans le même répertoire que celui dans lequel est installé et s'exécute le logiciel Client VPN TheGreenBow. Déploiement Exploitation vpnsetup.ini vpnconf.ini - Quel token? - Quel certificat? - Utilisation? Nouveau token! (Caractéristiques techniques) INSTALLATION du logiciel EXECUTION du logiciel Accède au bon token Lit le bon certificat Ces différents moyens de configuration du logiciel au cours de son installation, permettent par exemple de préparer le déploiement du Client VPN sur des plates formes hétérogènes, équipées de lecteurs de cartes à puce différents, mais dont les certificats à exploiter présentent les mêmes caractéristiques (par exemple, les certificats à utiliser sont de type "authentification"). Autre exemple : Le Client VPN peut être déployé sur des plates formes équipées de tokens qui lui sont inconnus. Le fichier de configuration permet au Client VPN de les reconnaître. 4

3 Options PKI 3.1 Caractérisation des cartes à puce ou tokens Il est possible de caractériser, au cours de l'installation du logiciel, la carte à puce ou le token exploité par le Client VPN TheGreenBow, selon les trois modes suivants : Le lecteur de carte à puce à utiliser est celui qui est spécifié dans la politique de sécurité VPN (fichier de configuration VPN), qui peut être joint à l'installation du logiciel, Le lecteur de carte à puce à utiliser est celui qui est spécifié dans le fichier d'initialisation du Client VPN : VpnConf.ini, Le lecteur de carte à puce à utiliser est le premier lecteur de carte à puce trouvé, branché et contenant une carte à puce. Le Client VPN TheGreenBow peut accéder aux middlewares des cartes à puces ou des tokens, en mode CSP (Cryptographic Service Provider) ou en mode PKCS#11. Par défaut, il accède à ces middlewares en mode CSP. Il est possible de configurer (forcer) le Client VPN pour accéder aux middlewares en mode PKCS#11 par défaut. A noter : Lorsque le Client VPN TheGreenBow accède au magasin de certificats Windows, il y accède toujours en mode CSP. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "PKC11Only" 3.2 Sélection du certificat sur la carte à puce ou token Il est possible de caractériser le certificat utilisé sur la carte à puce ou le token, par la combinaison des options suivantes : Le certificat à utiliser est celui dont le sujet est renseigné dans la politique de sécurité VPN (Configuration VPN), l'attribut Le certificat à utiliser est de type "'Authentification", autrement dit son "Key Usage" contient "Digital Signature", Le sujet du certificat ne doit pas être pris en compte : le premier certificat trouvé est utilisé. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "KeyUsage" 3.3 Utilisation des certificats 3.3.1 Certificats racines Lorsqu'un Client VPN et une passerelle VPN utilisent des certificats issus d'autorités de certification différentes (pour être précis : issus d'autorités de certification intermédiaires différentes, placées sous une même autorité de certification racine), il est nécessaire d'adapter le protocole IKE. Il est possible de configurer le Client VPN TheGreenBow pour s'adapter à une telle configuration. Paramètre concerné dans la suite du document : "NoCACertReq" 5

3.3.2 Certificat de la passerelle VPN Il est possible de forcer le Client VPN TheGreenBow à vérifier la chaîne de certification du certificat reçu de la passerelle VPN. Cela nécessite d'importer le certificat racine et tous les certificats de la chaîne de certification (l autorité de certification racine et les autorités de certification intermédiaires) dans le magasin de certificats Windows. Le Client VPN utilisera aussi la CRL (Certificate Revocation List) des différentes autorités de certification. Si ces CRL sont absentes du magasin de certificats, ou si ces CRL ne sont pas téléchargeables à l'ouverture du tunnel VPN, le Client VPN ne sera pas en mesure de valider le certificat de la passerelle. La vérification de chaque élément de la chaîne implique : la vérification de la date d'expiration du certificat la vérification de la date de début de validité du certificat la vérification des signatures de tous les certificats de la chaîne de certificats (y compris le certificat racine, certificats intermédiaires et le certificat du serveur) la mise à jour des CRL de tous les émetteurs de certificats de la chaîne de certification en procédant comme suit: Récupération de tous les CRL Distribution Points (i.e CDP) du certificat qui doit être vérifié et autres certificats, Téléchargement de la CRL sur différentes Distribution Points disponibles, Vérification de la date d'expiration de la CRL, Vérification de la signature de la CRL avec la clé publique du certificat de l'émetteur, Importation de la liste de révocation dans le magasin de certificat, la vérification de l'absence de révocation de certificats dans les listes de CRL correspondantes. Paramètre concerné dans la suite du document : "PkiCheck" 6

4 Fichier VpnSetup.ini Le fichier VpnSetup.ini permet de paramétrer l'installation du logiciel Client VPN TheGreenBow. Il doit être situé dans le même répertoire que l'exécutable d'installation : TheGreenBow_VPN_Client.exe. Remarque : Le fichier VpnSetup.ini est un fichier texte éditable avec notepad par exemple. 4.1 Syntaxe Le fichier VpnSetup.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" sont définis dans la section "[PKIOptions]". Paramètres Valeur Signification Chap SmartCardRoaming Non défini Lecteur de Carte configuré dans la Configuration VPN 3.1 Sujet du certificat dans la Configuration VPN 3.2 "01" Lecteur de Carte configuré dans la Configuration VPN Sujet du certificat non pris en compte "02" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat dans la Configuration VPN "03" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat non pris en compte "04" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat dans la Configuration VPN "05" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat non pris en compte PKCS11Only Non défini Le mode CSP est utilisé par défaut "01" Forcer le mode PKCS#11 3.1 KeyUsage Non défini Type du certificat non vérifié "01" Certificat de type "Authentification" 3.2 PkiChek Non défini Certificat de la Passerelle VPN non vérifié NoCACertReq Exemple : [PKIOptions] PkiCheck=01 SmartCardRoaming=01 NoCACertReq=01 KeyUsage=01 PKCS11Only=01 3.1 3.2 3.1 3.2 3.1 3.2 3.1 3.2 3.1 3.2 "01" Vérification du certificat de la Passerelle VPN 3.3.2 Non défini "01" Autorités de certification Client / Passerelle différentes 3.3.1 7

5 Fichier VpnConf.ini Le fichier VpnConf.ini est pris en compte au démarrage du logiciel Client VPN TheGreenBow. Il est utilisé pour caractériser le lecteur, la carte à puce ou le token que le logiciel doit exploiter. Il doit être situé dans le répertoire d'installation du logiciel (p.ex.: "C:\Program Files\TheGreenBow\TheGreenBow VPN"). A noter : Le Client VPN TheGreenBow reconnaît en standard les cartes à puce ou tokens USB des principaux fabricants (Gemalto, Oberthur, Schlumberger, Aladdin, SafeNet, Feitian,...). Les cartes sont automatiquement reconnues en fonction de leur "ATR" et le Client VPN utilise le middleware associé, de type CSP ou PKCS#11. La configuration du fichier VpnConf.ini permet toutefois à l'administrateur de spécifier ses propres cartes ainsi que les chemins d'accès à leurs middlewares. Remarque : Le fichier VpnConf.ini est un fichier texte éditable avec notepad par exemple. 5.1 Syntaxe Le fichier VpnConf.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" se répartissent dans les deux sections suivantes : 1/ La section "[ROAMING]" spécifie le lecteur de carte ou le token qui doit être utilisé 2/ La section ATR permet de définir les tokens ou cartes à puce qui ne sont pas encore reconnus automatiquement par le Client VPN TheGreenBow. 5.1.1 Section ROAMING La section ROAMING permet de spécifier le lecteur de carte à puce ou le token qui doit être utilisé. Cette section optionnelle doit être unique. Les paramètres de la section"[roaming]" sont les suivants : Paramètre Signification SmartCardReader Nom du lecteur de carte à utiliser pour accéder au Token SmartCardMiddleware fichier DLL utilisé pour communiquer avec le Token SmartCardMiddlewareType PKCS#11 SmartCardMiddelwarePath Chemin d'accès au middleware, y compris le nom du middleware SmartCardMiddlewareRegistry Nom de la clé en base de registre contenant le chemin d'accès au middleware Exemple : [ROAMING] SmartCardReader="Axalto reader" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddelwarePath="c:\path\to\middleware\mdlw.dll" SmartCardMiddlewareRegistry="HKEY_LOCAL_MACHINE:SOFTWARE\\Axalto\\Access\\CK:PKCS# 11DLL" 8

Remarques importantes : 1/ La section "[ROAMING]" du fichier VpnConf.ini n'est prise en compte par le logiciel que si le paramètre "SmartCardRoaming" est utilisé au cours de l'installation, et vaut "02" ou "03" (Cf. chapitre 4) 2/ Les informations de la section "[ROAMING]" du fichier VpnConf.ini prévalent sur les éventuelles informations similaires qui pourraient être mémorisées dans la politique de sécurité VPN (configuration VPN) 3/ Au moins l'un des deux paramètres SmartCardMiddlewareRegistry ou SmartCardMiddelwarePath doit obligatoirement être défini. 4/ "PKCS#11" est la seule valeur possible pour le paramètre SmartCardMiddlewareType. 5.1.2 Section ATR La section ATR permet de spécifier les attributs du token. Il est possible de définir plusieurs tokens. Chaque section indique les paramètres d un nouveau token. Les paramètres de la section ATR sont les suivants : Paramètre [ATR#] mask scname manufacturer pkcs11dllname registry DllPath Signification Nom de la section = id du Token masque pour cet ATR nom du Token nom du fabricant nom de la DLL PKCS#11 nom de la clé en Registry indiquant le chemin d'accès au middleware chemin d'accès aux DLL PKCS#11 Exemple : [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="access" manufacturer="axalto" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\axalto\\access\\ck:pkcs#11dll" Remarque importante : Au moins l'un des deux paramètres registry ou DllPath doit obligatoirement être défini. 5.1.3 Exemple [ROAMING] SmartCardReader="Reader Name" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddlewareRegistry= KEY_LOCAL_MACHINE:SOFTWARE\\CompanyName\\ProductName\ \CK:PKCS#11DLL SmartCardMiddelwarePath= c:\path\to\middleware\mdlw.dll // New Token description#1 [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="card Name" manufacturer="company Name" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\companyname\\productname\\ck:pkcs#11dll" 9

6 Options de ligne de commande de l'installation Deux paramètres "Options PKI" peuvent être spécifiés en ligne de commande de l'installation : 1/ pkicheck (équivalent au paramètre PkiCheck du fichier VpnSetup.ini, Cf chapitre 4.1) 2/ smartcardroaming (équivalent au paramètre SmartCardRoaming du fichier VpnSetup.ini, Cf chapitre 4.1)) Remarques importantes : 1/ Les paramètres "Options PKI" spécifiés dans le fichier VpnSetup.ini ont priorité sur les paramètres passés en ligne de commande. 2/ Dans la ligne de commande, veiller à ce qu'il n'y ait pas d'espace entre l'option, le signe "=", et sa valeur. 6.1.1 pkicheck Syntaxe : Usage : Exemple : --pkicheck=1 Cette option doit être soit définie, avec la valeur 1, soit pas définie. TheGreenBow_VPN_Client.exe --pkicheck=1 6.1.2 smartcardroaming Syntaxe : Usage : Exemple : --smartcardroaming=1 Cette option doit être soit définie, avec la valeur 1,2,3,4 ou 5 (Cf chapitre 4), soit pas définie. TheGreenBow_VPN_Client.exe --smartcardroaming=1 10

7 Support Informations et mises à jour sur le site web TheGreenBow : http://www.thegreenbow.com Support technique par email à : support@thegreenbow.com ou sur le site web TheGreenBow : http://www.thegreenbow.com/support.html Contact commercial par email à : sales@thegreenbow.com 11

Secure, Strong, Simple TheGreenBow Security Software

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back