NETASQ CLIENT VPN IPSEC GUIDE DE DÉPLOIEMENT OPTIONS PKI Site Web : http://www.netasq.com Contact : support@netasq.com Référence : naengde_vpn_client-version-5.5_deployment Décembre 2012 (Mise à jour)
Table des matières 1 INTRODUCTION 3 1.1 Références... 3 2 CONFIGURATION DU LOGICIEL POUR LE DEPLOIEMENT 4 3 OPTIONS PKI 5 3.1 Caractérisation des cartes à puce ou tokens... 5 3.2 Sélection du certificat sur la carte à puce ou token... 5 3.3 Utilisation des certificats... 6 4 FICHIER VPNSETUP.INI 7 4.1 Syntaxe... 7 5 FICHIER VPNCONF.INI 8 5.1 Syntaxe... 9 6 OPTIONS DE LIGNE DE COMMANDE DE L'INSTALLATION 11 7 SUPPORT 12
1. Introduction Ce document décrit les nouvelles fonctions du Client VPN NETASQ dédiées à l'intégration du Client VPN dans une PKI (Public Key Infrastructure) / IGC (Infrastructure de Gestion de Clés) Ces nouvelles fonctions permettent : - de caractériser les cartes à puces et les tokens exploités par le logiciel Client VPN, - de configurer la manière de sélectionner les certificats sur une carte à puce ou sur un token, - de configurer l'utilisation des certificats avec le logiciel Client VPN. Ces nouvelles fonctions sont activables via la configuration des paramètres décrits dans ce document. Ces paramètres, appelés "Options PKI", sont configurables : - Dans un fichier d'initialisation de l'installation du logiciel : VpnSetup.ini - Via des options de ligne de commande de l'installation du logiciel - Dans un fichier d'initialisation du logiciel une fois installé : VpnConf.ini Ces paramètres "Options PKI" sont aussi configurables intégralement via le Panneau de Configuration du logiciel Client VPN, comme décrit au chapitre "Gestion des Certificats (Options PKI)" du "Guide Utilisateur du Client VPN NETASQ". (référence : nafrgde_vpn_client-version-5.5.pdf) Ce document s'attache toutefois à décrire toutes les possibilités de configuration de ces paramètres au cours du déploiement du logiciel. En ce sens, il s'adresse à l'administrateur réseau, plutôt qu'à l'utilisateur. Ce document est une extension du "Guide de Déploiement du Client VPN NETASQ'". 1.1. Références Intitulé Référence Adresse de téléchargement Guide Utilisateur du Client VPN NETASQ Guide de Déploiement du Client VPN NETASQ nafrgde_vpn_client-version-5.5.pdf nafrgde_vpn_client-version- 5.5_deployment.pdf http://vpn.netasq.com http://vpn.netasq.com
2. Configuration du logiciel pour le déploiement Le Client VPN peut être configuré au cours de son installation et pour son premier lancement par les trois moyens suivants : 1/ Fichier d'initialisation accompagnant l'installation du logiciel : VpnSetup.ini 2/ Options de ligne de commande de l'installation 3/ Fichier d'initialisation du logiciel Client VPN à chaque lancement : VpnConf.ini Ces fichiers de déploiement doivent se situer dans les répertoires suivants : - le fichier "VpnSetup.ini" doit être situé dans le même répertoire que celui dans lequel est exécutée l'installation du Client VPN : Vpnclient_setup.exe - le fichier "VpnConf.ini" doit être situé dans le même répertoire que celui dans lequel est installé et s'exécute le logiciel Client VPN NETASQ. Déploiement Exploitation vpnsetup.ini vpnconf.ini - Quel token? - Quel certificat? - Utilisation? Nouveau token! (Caractéristiques techniques) INSTALLATION du logiciel EXECUTION du logiciel Accède au bon token Lit le bon certificat Ces différents moyens de configuration du logiciel au cours de son installation, permettent par exemple de préparer le déploiement du Client VPN sur des plates-formes hétérogènes, équipées de lecteurs de cartes à puce différents, mais dont les certificats à exploiter présentent les mêmes caractéristiques (par exemple, les certificats à utiliser sont de type "authentification"). Autre exemple : Le Client VPN peut être déployé sur des plates-formes équipées de tokens qui lui sont inconnus. Le fichier de configuration permet au Client VPN de les reconnaître.
3. Options PKI 3.1. Caractérisation des cartes à puce ou tokens Il est possible de caractériser, au cours de l'installation du logiciel, la carte à puce ou le token exploité par le Client VPN NETASQ, selon les trois modes suivants : - Le lecteur de carte à puce à utiliser est celui qui est spécifié dans la politique de sécurité VPN (fichier de configuration VPN), qui peut être joint à l'installation du logiciel, - Le lecteur de carte à puce à utiliser est celui qui est spécifié dans le fichier d'initialisation du Client VPN : VpnConf.ini, - Le lecteur de carte à puce à utiliser est le premier lecteur de carte à puce trouvé, branché et contenant une carte à puce. Le Client VPN NETASQ peut accéder aux middlewares des cartes à puces ou des tokens, en mode CSP (Cryptographic Service Provider) ou en mode PKCS#11. Par défaut, il accède à ces middlewares en mode CSP. Il est possible de configurer (forcer) le Client VPN pour accéder aux middlewares en mode PKCS#11 par défaut. NOTE : Lorsque le Client VPN NETASQ accède au magasin de certificats Windows, il y accède toujours en mode CSP. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "PKC11Only" 3.2. Sélection du certificat sur la carte à puce ou token Il est possible de caractériser le certificat utilisé sur la carte à puce ou le token, par la combinaison des options suivantes : - Le certificat à utiliser est celui dont le sujet est renseigné dans la politique de sécurité VPN (Configuration VPN) - Le certificat à utiliser est de type "'Authentification", autrement dit son "Key Usage" contient l'attribut "Digital Signature", - Le sujet du certificat ne doit pas être pris en compte : le premier certificat trouvé est utilisé. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "KeyUsage".
3.3. Utilisation des certificats 3.3.1. Certificats racines Lorsqu'un Client VPN et une passerelle VPN utilisent des certificats issus d'autorités de certification différentes (pour être précis : issus d'autorités de certification intermédiaires différentes, placées sous une même autorité de certification racine), il est nécessaire d'adapter le protocole IKE. Il est possible de configurer le Client VPN NETASQ pour s'adapter à une telle configuration. Paramètre concerné dans la suite du document : "NoCACertReq". 3.3.2. Certificat de la passerelle VPN Il est possible de forcer le Client VPN NETASQ à vérifier la chaîne de certification du certificat reçu de la passerelle VPN. Cela nécessite d'importer le certificat racine et tous les certificats de la chaîne de certification (l autorité de certification racine et les autorités de certification intermédiaires) dans le magasin de certificats Windows. Le Client VPN utilisera aussi la CRL (Certificate Revocation List) des différentes autorités de certification. Si ces CRL sont absentes du magasin de certificats, ou si ces CRL ne sont pas téléchargeables à l'ouverture du tunnel VPN, le Client VPN ne sera pas en mesure de valider le certificat de la passerelle. La vérification de chaque élément de la chaîne implique : la vérification de la date d'expiration du certificat la vérification de la date de début de validité du certificat la vérification des signatures de tous les certificats de la chaîne de certificats (y compris le certificat racine, certificats intermédiaires et le certificat du serveur) la mise à jour des CRL de tous les émetteurs de certificats de la chaîne de certification en procédant comme suit: - Récupération de tous les CRL Distribution Points (i.e CDP) du certificat qui doit être vérifié et autres certificats, - Téléchargement de la CRL sur différentes Distribution Points disponibles, - Vérification de la date d'expiration de la CRL, - Vérification de la signature de la CRL avec la clé publique du certificat de l'émetteur, - Importation de la liste de révocation dans le magasin de certificat, la vérification de l'absence de révocation de certificats dans les listes de CRL correspondantes. Paramètre concerné dans la suite du document : "PkiCheck".
4. Fichier VpnSetup.ini Le fichier VpnSetup.ini permet de paramétrer l'installation du logiciel Client VPN NETASQ.Il doit être situé dans le même répertoire que l'exécutable d'installation : Vpnclient_setup.exe. REMARQUE : Le fichier VpnSetup.ini est un fichier texte éditable avec notepad par exemple. 4.1. Syntaxe Le fichier VpnSetup.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" sont définis dans la section "[PKIOptions]". Paramètres Valeur Signification Chap SmartCardRoaming Non défini Lecteur de Carte configuré dans la Configuration VPN Sujet du certificat dans la Configuration VPN 0 3.2 PKCS11Only KeyUsage PkiChek NoCACertReq "01" Lecteur de Carte configuré dans la Configuration VPN Sujet du certificat non pris en compte "02" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat dans la Configuration VPN "03" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat non pris en compte "04" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat dans la Configuration VPN "05" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat non pris en compte Non Le mode CSP est utilisé par défaut défini "01" Forcer le mode PKCS#11 0 0 3.2 0 3.2 0 3.2 0 3.2 0 3.2 Non Type du certificat non vérifié défini "01" Certificat de type "Authentification" 3.2 Non Certificat de la Passerelle VPN non vérifié défini "01" Vérification du certificat de la Passerelle VPN 3.3.2 Non défini "01" Autorités de certification Client / Passerelle différentes 3.3.1
Exemple: [PKIOptions] PkiCheck=01 SmartCardRoaming=01 NoCACertReq=01 KeyUsage=01 PKCS11Only=01 5. Fichier VpnConf.ini Le fichier VpnConf.ini est pris en compte au démarrage du logiciel Client VPN NETASQ. Il est utilisé pour caractériser le lecteur, la carte à puce ou le token que le logiciel doit exploiter. Il doit être situé dans le répertoire d'installation du logiciel (p.ex.: "C:\Program Files\TheGreenBow\TheGreenBow VPN"). NOTE : Le Client VPN NETASQ reconnaît en standard les cartes à puce ou tokens USB des principaux fabricants (Gemalto, Oberthur, Schlumberger, Aladdin, SafeNet, Feitian,...). Les cartes sont automatiquement reconnues en fonction de leur "ATR" et le Client VPN utilise le middleware associé, de type CSP ou PKCS#11. La configuration du fichier VpnConf.ini permet toutefois à l'administrateur de spécifier ses propres cartes ainsi que les chemins d'accès à leurs middlewares. REMARQUE : Le fichier VpnConf.ini est un fichier texte éditable avec notepad par exemple.
5.1. Syntaxe Le fichier VpnConf.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" se répartissent dans les deux sections suivantes : 1/ La section "[ROAMING]" spécifie le lecteur de carte ou le token qui doit être utilisé 2/ La section ATR permet de définir les tokens ou cartes à puce qui ne sont pas encore reconnus automatiquement par le Client VPN NETASQ. 5.1.1. Section ROAMING La section ROAMING permet de spécifier le lecteur de carte à puce ou le token qui doit être utilisé.cette section optionnelle doit être unique. Les paramètres de la section"[roaming]" sont les suivants : Paramètre SmartCardReader SmartCardMiddleware SmartCardMiddlewareType SmartCardMiddelwarePath Signification Nom du lecteur de carte à utiliser pour accéder au Token fichier DLL utilisé pour communiquer avec le Token PKCS#11 Chemin d'accès au middleware, y compris le nom du middleware SmartCardMiddlewareRegistry Nom de la clé en base de registre contenant le chemin d'accès au middleware Exemple: [ROAMING] SmartCardReader="Axalto reader" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddelwarePath= c:\path\to\middleware\mdlw.dll SmartCardMiddlewareRegistry= HKEY_LOCAL_MACHINE:SOFTWARE\\Axal to\\access\\ck:pkcs#11dll
REMARQUES IMPORTANTES : 1/ La section "[ROAMING]" du fichier VpnConf.ini n'est prise en compte par le logiciel que si le paramètre "SmartCardRoaming" est utilisé au cours de l'installation, et vaut "02" ou "03" (Cf. chapitre 4) 2/ Les informations de la section "[ROAMING]" du fichier VpnConf.ini prévalent sur les éventuelles informations similaires qui pourraient être mémorisées dans la politique de sécurité VPN (configuration VPN) 3/ Au moins l'un des deux paramètres SmartCardMiddlewareRegistry ou SmartCardMiddelwarePath doit obligatoirement être défini. 4/ "PKCS#11" est la seule valeur possible pour le paramètre SmartCardMiddlewareType. 5.1.2. Section ATR La section ATR permet de spécifier les attributs du token. Il est possible de définir plusieurs tokens. Chaque section indique les paramètres d un nouveau token. Les paramètres de la section ATR sont les suivants : Paramètre [ATR#] mask scname manufacturer pkcs11dllname registry DllPath Signification Nom de la section = id du Token masque pour cet ATR nom du Token nom du fabricant nom de la DLL PKCS#11 nom de la clé en Registry indiquant le chemin d'accès au middleware chemin d'accès aux DLL PKCS#11 Exemple: [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="access" manufacturer="axalto" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\axalto\\access\\ck:pkcs# 11DLL"
REMARQUES IMPORTANTES : 1/ Au moins l'un des deux paramètres registry ou DllPath doit obligatoirement être défini. 5.1.3. Exemple [ROAMING] SmartCardReader="Reader Name" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddlewareRegistry= KEY_LOCAL_MACHINE:SOFTWARE\\Compa nyname\\productname\\ck:pkcs#11dll SmartCardMiddelwarePath= c:\path\to\middleware\mdlw.dll // New Token description#1 [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="card Name" manufacturer="company Name" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\companyname\\productname \\CK:PKCS#11DLL" 6. Options de ligne de commande de l'installation Deux paramètres "Options PKI" peuvent être spécifiés en ligne de commande de l'installation : 1/ pkicheck (équivalent au paramètre PkiCheck du fichier VpnSetup.ini, Cf chapitre 4.1) 2/ smartcardroaming (équivalent au paramètre SmartCardRoaming du fichier VpnSetup.ini, Cf chapitre 4.1)) REMARQUES IMPORTANTES : 1/ Les paramètres "Options PKI" spécifiés dans le fichier VpnSetup.ini ont priorité sur les paramètres passés en ligne de commande. 2/ Dans la ligne de commande, veiller à ce qu'il n'y ait pas d'espace entre l'option, le signe "=", et sa valeur.
6.1.1. --pkicheck Syntaxe : --pkicheck=1 Usage : cette option doit être soit définie, avec la valeur 1, soit pas définie. Exemple : Vpnclient_setup.exe --pkicheck=1 6.1.2. -- smartcardroaming Syntaxe : -- smartcardroaming=1 Usage : cette option doit être soit définie, avec la valeur 1,2,3,4 ou 5 (Cf chapitre 4), soit pas définie. Exemple : Vpnclient_setup.exe -- smartcardroaming=1 7. Support Informations et mises à jour sur le site web TheGreenBow : http://www.netasq.com Support technique par email à : support@netasq.com Contact commercial par email à : sales@thegreenbow.com