NETASQ CLIENT VPN IPSEC GUIDE DE DÉPLOIEMENT OPTIONS PKI

Documents pareils
TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Site Web : Contact : support@thegreenbow.com

NETASQ CLIENT VPN IPSEC GUIDE DE DEPLOIEMENT

Middleware eid v2.6 pour Windows

ScTools Outil de personnalisation de carte

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

NETASQ CLIENT VPN IPSEC GUIDE UTILISATEUR

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Les infrastructures de clés publiques (PKI, IGC, ICP)

Le rôle Serveur NPS et Protection d accès réseau

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Certificats Electronique d AE sur Clé USB

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

EJBCA Le futur de la PKI

Arkoon Security Appliances Fast 360

Guide d'installation du token

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

COMMUNIQUER EN CONFIANCE

Comment installer un certificat de signature et de chiffrement pour Mozilla Thunderbird

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Guide de configuration de SQL Server pour BusinessObjects Planning

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

FANTEC DB-229US Manuel de l'utilisateur

Cahier Technique Envoi par à partir des logiciels V7.00

TABLE DES MATIERES...

Le modèle de sécurité windows

Public Key Infrastructure (PKI)

Guide de l'agent de notification

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Du 03 au 07 Février 2014 Tunis (Tunisie)

contact@nqicorp.com - Web :

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Les certificats numériques

Certificats et infrastructures de gestion de clés

Présentation du SC101

Clear2Pay Belgium SA Solution B-web V4 Procédure d installation. Solution B-web V4. Procédure d installation. Clear2Pay Belgium SA Page 1 de 18

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

II- Préparation du serveur et installation d OpenVpn :

Configuration pour la connexion au réseau eduroam sous l environnement Windows XP (SP3) et Windows 7&8 au personnel de l IN2P3

Manuel d'utilisation d'apimail V3

La sécurité des Réseaux Partie 7 PKI

Début de la procédure

Préparer la synchronisation d'annuaires

Retrospect 7.7 Addendum au Guide d'utilisation

Installation de BOINC (pour Windows) La procédure reste néanmoins très similaire pour les utilisateurs de LINUX

SafeGuard Enterprise Manuel d'administration. Version du produit : 7

PARAGON SYSTEM BACKUP 2010

Chapitre 2 Rôles et fonctionnalités

Version 2.2. Version 3.02

Installation 1K-Serveur

Sécurité WebSphere MQ V 5.3

FORMATION WS0801. Centre de formation agréé

FANTEC HDD-Sneaker MANUEL D'UTILISATION. Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation

Installation du client Cisco VPN 5 (Windows)

FreeNAS Shere. Par THOREZ Nicolas

INSTRUCTIONS D'INSTALLATION

Manuel d installation Version Evolution réseau Ciel Compta Ciel Gestion commerciale Ciel Associations

Gestion des licences Mia-Studio Manuel de l'utilisateur. - Procédure d'installation -

Installation du client Cisco VPN 5 (Windows)

Installation de Windows 2000 Serveur

Installation du client Cisco VPN 5 (Windows)

Comment installer l application Middleware (eid viewer)?

Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

SafeGuard Easy Aide administrateur. Version du produit : 6

SERVEUR DE MESSAGERIE

contact@nqicorp.com - Web :

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

Dispositions relatives à l'installation :

Security BOX Enterprise

TrueCrypt : installation et paramétrage

Mises à jour des logiciels Manuel de l'utilisateur

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

Installation DataExpert YellowbillAdapter (PostFinance)

Installation de Windows 2003 Serveur


BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

COMMENT INSTALLER LE SERVEUR QIPAIE

Guide de mise à jour de Suite SAP Business Intelligence Patch 10.x

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Capture Pro Software. Démarrage. A-61640_fr

La haute disponibilité de la CHAINE DE

LOGICIEL KIPICAM : Manuel d installation et d utilisation

Gestion des utilisateurs et Entreprise Etendue

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Politique de certification et procédures de l autorité de certification CNRS

ARV : Administration de Réseau Virtuel

Configuration d'un annuaire LDAP

La citadelle électronique séminaire du 14 mars 2002

Serveur d application WebDev

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

EJBCA PKI Open Source

TUNIS LE : 20, 21, 22 JUIN 2006

État Réalisé En cours Planifié

Sécurisation des architectures traditionnelles et des SOA

v7.1 SP2 Guide des Nouveautés

Transcription:

NETASQ CLIENT VPN IPSEC GUIDE DE DÉPLOIEMENT OPTIONS PKI Site Web : http://www.netasq.com Contact : support@netasq.com Référence : naengde_vpn_client-version-5.5_deployment Décembre 2012 (Mise à jour)

Table des matières 1 INTRODUCTION 3 1.1 Références... 3 2 CONFIGURATION DU LOGICIEL POUR LE DEPLOIEMENT 4 3 OPTIONS PKI 5 3.1 Caractérisation des cartes à puce ou tokens... 5 3.2 Sélection du certificat sur la carte à puce ou token... 5 3.3 Utilisation des certificats... 6 4 FICHIER VPNSETUP.INI 7 4.1 Syntaxe... 7 5 FICHIER VPNCONF.INI 8 5.1 Syntaxe... 9 6 OPTIONS DE LIGNE DE COMMANDE DE L'INSTALLATION 11 7 SUPPORT 12

1. Introduction Ce document décrit les nouvelles fonctions du Client VPN NETASQ dédiées à l'intégration du Client VPN dans une PKI (Public Key Infrastructure) / IGC (Infrastructure de Gestion de Clés) Ces nouvelles fonctions permettent : - de caractériser les cartes à puces et les tokens exploités par le logiciel Client VPN, - de configurer la manière de sélectionner les certificats sur une carte à puce ou sur un token, - de configurer l'utilisation des certificats avec le logiciel Client VPN. Ces nouvelles fonctions sont activables via la configuration des paramètres décrits dans ce document. Ces paramètres, appelés "Options PKI", sont configurables : - Dans un fichier d'initialisation de l'installation du logiciel : VpnSetup.ini - Via des options de ligne de commande de l'installation du logiciel - Dans un fichier d'initialisation du logiciel une fois installé : VpnConf.ini Ces paramètres "Options PKI" sont aussi configurables intégralement via le Panneau de Configuration du logiciel Client VPN, comme décrit au chapitre "Gestion des Certificats (Options PKI)" du "Guide Utilisateur du Client VPN NETASQ". (référence : nafrgde_vpn_client-version-5.5.pdf) Ce document s'attache toutefois à décrire toutes les possibilités de configuration de ces paramètres au cours du déploiement du logiciel. En ce sens, il s'adresse à l'administrateur réseau, plutôt qu'à l'utilisateur. Ce document est une extension du "Guide de Déploiement du Client VPN NETASQ'". 1.1. Références Intitulé Référence Adresse de téléchargement Guide Utilisateur du Client VPN NETASQ Guide de Déploiement du Client VPN NETASQ nafrgde_vpn_client-version-5.5.pdf nafrgde_vpn_client-version- 5.5_deployment.pdf http://vpn.netasq.com http://vpn.netasq.com

2. Configuration du logiciel pour le déploiement Le Client VPN peut être configuré au cours de son installation et pour son premier lancement par les trois moyens suivants : 1/ Fichier d'initialisation accompagnant l'installation du logiciel : VpnSetup.ini 2/ Options de ligne de commande de l'installation 3/ Fichier d'initialisation du logiciel Client VPN à chaque lancement : VpnConf.ini Ces fichiers de déploiement doivent se situer dans les répertoires suivants : - le fichier "VpnSetup.ini" doit être situé dans le même répertoire que celui dans lequel est exécutée l'installation du Client VPN : Vpnclient_setup.exe - le fichier "VpnConf.ini" doit être situé dans le même répertoire que celui dans lequel est installé et s'exécute le logiciel Client VPN NETASQ. Déploiement Exploitation vpnsetup.ini vpnconf.ini - Quel token? - Quel certificat? - Utilisation? Nouveau token! (Caractéristiques techniques) INSTALLATION du logiciel EXECUTION du logiciel Accède au bon token Lit le bon certificat Ces différents moyens de configuration du logiciel au cours de son installation, permettent par exemple de préparer le déploiement du Client VPN sur des plates-formes hétérogènes, équipées de lecteurs de cartes à puce différents, mais dont les certificats à exploiter présentent les mêmes caractéristiques (par exemple, les certificats à utiliser sont de type "authentification"). Autre exemple : Le Client VPN peut être déployé sur des plates-formes équipées de tokens qui lui sont inconnus. Le fichier de configuration permet au Client VPN de les reconnaître.

3. Options PKI 3.1. Caractérisation des cartes à puce ou tokens Il est possible de caractériser, au cours de l'installation du logiciel, la carte à puce ou le token exploité par le Client VPN NETASQ, selon les trois modes suivants : - Le lecteur de carte à puce à utiliser est celui qui est spécifié dans la politique de sécurité VPN (fichier de configuration VPN), qui peut être joint à l'installation du logiciel, - Le lecteur de carte à puce à utiliser est celui qui est spécifié dans le fichier d'initialisation du Client VPN : VpnConf.ini, - Le lecteur de carte à puce à utiliser est le premier lecteur de carte à puce trouvé, branché et contenant une carte à puce. Le Client VPN NETASQ peut accéder aux middlewares des cartes à puces ou des tokens, en mode CSP (Cryptographic Service Provider) ou en mode PKCS#11. Par défaut, il accède à ces middlewares en mode CSP. Il est possible de configurer (forcer) le Client VPN pour accéder aux middlewares en mode PKCS#11 par défaut. NOTE : Lorsque le Client VPN NETASQ accède au magasin de certificats Windows, il y accède toujours en mode CSP. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "PKC11Only" 3.2. Sélection du certificat sur la carte à puce ou token Il est possible de caractériser le certificat utilisé sur la carte à puce ou le token, par la combinaison des options suivantes : - Le certificat à utiliser est celui dont le sujet est renseigné dans la politique de sécurité VPN (Configuration VPN) - Le certificat à utiliser est de type "'Authentification", autrement dit son "Key Usage" contient l'attribut "Digital Signature", - Le sujet du certificat ne doit pas être pris en compte : le premier certificat trouvé est utilisé. Paramètres concernés dans la suite du document : "SmartCardRoaming" et "KeyUsage".

3.3. Utilisation des certificats 3.3.1. Certificats racines Lorsqu'un Client VPN et une passerelle VPN utilisent des certificats issus d'autorités de certification différentes (pour être précis : issus d'autorités de certification intermédiaires différentes, placées sous une même autorité de certification racine), il est nécessaire d'adapter le protocole IKE. Il est possible de configurer le Client VPN NETASQ pour s'adapter à une telle configuration. Paramètre concerné dans la suite du document : "NoCACertReq". 3.3.2. Certificat de la passerelle VPN Il est possible de forcer le Client VPN NETASQ à vérifier la chaîne de certification du certificat reçu de la passerelle VPN. Cela nécessite d'importer le certificat racine et tous les certificats de la chaîne de certification (l autorité de certification racine et les autorités de certification intermédiaires) dans le magasin de certificats Windows. Le Client VPN utilisera aussi la CRL (Certificate Revocation List) des différentes autorités de certification. Si ces CRL sont absentes du magasin de certificats, ou si ces CRL ne sont pas téléchargeables à l'ouverture du tunnel VPN, le Client VPN ne sera pas en mesure de valider le certificat de la passerelle. La vérification de chaque élément de la chaîne implique : la vérification de la date d'expiration du certificat la vérification de la date de début de validité du certificat la vérification des signatures de tous les certificats de la chaîne de certificats (y compris le certificat racine, certificats intermédiaires et le certificat du serveur) la mise à jour des CRL de tous les émetteurs de certificats de la chaîne de certification en procédant comme suit: - Récupération de tous les CRL Distribution Points (i.e CDP) du certificat qui doit être vérifié et autres certificats, - Téléchargement de la CRL sur différentes Distribution Points disponibles, - Vérification de la date d'expiration de la CRL, - Vérification de la signature de la CRL avec la clé publique du certificat de l'émetteur, - Importation de la liste de révocation dans le magasin de certificat, la vérification de l'absence de révocation de certificats dans les listes de CRL correspondantes. Paramètre concerné dans la suite du document : "PkiCheck".

4. Fichier VpnSetup.ini Le fichier VpnSetup.ini permet de paramétrer l'installation du logiciel Client VPN NETASQ.Il doit être situé dans le même répertoire que l'exécutable d'installation : Vpnclient_setup.exe. REMARQUE : Le fichier VpnSetup.ini est un fichier texte éditable avec notepad par exemple. 4.1. Syntaxe Le fichier VpnSetup.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" sont définis dans la section "[PKIOptions]". Paramètres Valeur Signification Chap SmartCardRoaming Non défini Lecteur de Carte configuré dans la Configuration VPN Sujet du certificat dans la Configuration VPN 0 3.2 PKCS11Only KeyUsage PkiChek NoCACertReq "01" Lecteur de Carte configuré dans la Configuration VPN Sujet du certificat non pris en compte "02" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat dans la Configuration VPN "03" Lecteur de Carte configuré dans le fichier VpnConf.ini Sujet du certificat non pris en compte "04" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat dans la Configuration VPN "05" 1er lecteur de carte branché contenant une carte à puce Sujet du certificat non pris en compte Non Le mode CSP est utilisé par défaut défini "01" Forcer le mode PKCS#11 0 0 3.2 0 3.2 0 3.2 0 3.2 0 3.2 Non Type du certificat non vérifié défini "01" Certificat de type "Authentification" 3.2 Non Certificat de la Passerelle VPN non vérifié défini "01" Vérification du certificat de la Passerelle VPN 3.3.2 Non défini "01" Autorités de certification Client / Passerelle différentes 3.3.1

Exemple: [PKIOptions] PkiCheck=01 SmartCardRoaming=01 NoCACertReq=01 KeyUsage=01 PKCS11Only=01 5. Fichier VpnConf.ini Le fichier VpnConf.ini est pris en compte au démarrage du logiciel Client VPN NETASQ. Il est utilisé pour caractériser le lecteur, la carte à puce ou le token que le logiciel doit exploiter. Il doit être situé dans le répertoire d'installation du logiciel (p.ex.: "C:\Program Files\TheGreenBow\TheGreenBow VPN"). NOTE : Le Client VPN NETASQ reconnaît en standard les cartes à puce ou tokens USB des principaux fabricants (Gemalto, Oberthur, Schlumberger, Aladdin, SafeNet, Feitian,...). Les cartes sont automatiquement reconnues en fonction de leur "ATR" et le Client VPN utilise le middleware associé, de type CSP ou PKCS#11. La configuration du fichier VpnConf.ini permet toutefois à l'administrateur de spécifier ses propres cartes ainsi que les chemins d'accès à leurs middlewares. REMARQUE : Le fichier VpnConf.ini est un fichier texte éditable avec notepad par exemple.

5.1. Syntaxe Le fichier VpnConf.ini se compose de plusieurs sections, clés et valeurs optionnelles. Les paramètres "Options PKI" se répartissent dans les deux sections suivantes : 1/ La section "[ROAMING]" spécifie le lecteur de carte ou le token qui doit être utilisé 2/ La section ATR permet de définir les tokens ou cartes à puce qui ne sont pas encore reconnus automatiquement par le Client VPN NETASQ. 5.1.1. Section ROAMING La section ROAMING permet de spécifier le lecteur de carte à puce ou le token qui doit être utilisé.cette section optionnelle doit être unique. Les paramètres de la section"[roaming]" sont les suivants : Paramètre SmartCardReader SmartCardMiddleware SmartCardMiddlewareType SmartCardMiddelwarePath Signification Nom du lecteur de carte à utiliser pour accéder au Token fichier DLL utilisé pour communiquer avec le Token PKCS#11 Chemin d'accès au middleware, y compris le nom du middleware SmartCardMiddlewareRegistry Nom de la clé en base de registre contenant le chemin d'accès au middleware Exemple: [ROAMING] SmartCardReader="Axalto reader" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddelwarePath= c:\path\to\middleware\mdlw.dll SmartCardMiddlewareRegistry= HKEY_LOCAL_MACHINE:SOFTWARE\\Axal to\\access\\ck:pkcs#11dll

REMARQUES IMPORTANTES : 1/ La section "[ROAMING]" du fichier VpnConf.ini n'est prise en compte par le logiciel que si le paramètre "SmartCardRoaming" est utilisé au cours de l'installation, et vaut "02" ou "03" (Cf. chapitre 4) 2/ Les informations de la section "[ROAMING]" du fichier VpnConf.ini prévalent sur les éventuelles informations similaires qui pourraient être mémorisées dans la politique de sécurité VPN (configuration VPN) 3/ Au moins l'un des deux paramètres SmartCardMiddlewareRegistry ou SmartCardMiddelwarePath doit obligatoirement être défini. 4/ "PKCS#11" est la seule valeur possible pour le paramètre SmartCardMiddlewareType. 5.1.2. Section ATR La section ATR permet de spécifier les attributs du token. Il est possible de définir plusieurs tokens. Chaque section indique les paramètres d un nouveau token. Les paramètres de la section ATR sont les suivants : Paramètre [ATR#] mask scname manufacturer pkcs11dllname registry DllPath Signification Nom de la section = id du Token masque pour cet ATR nom du Token nom du fabricant nom de la DLL PKCS#11 nom de la clé en Registry indiquant le chemin d'accès au middleware chemin d'accès aux DLL PKCS#11 Exemple: [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="access" manufacturer="axalto" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\axalto\\access\\ck:pkcs# 11DLL"

REMARQUES IMPORTANTES : 1/ Au moins l'un des deux paramètres registry ou DllPath doit obligatoirement être défini. 5.1.3. Exemple [ROAMING] SmartCardReader="Reader Name" SmartCardMiddleware="middleware.dll" SmartCardMiddlewareType="PKCS#11" SmartCardMiddlewareRegistry= KEY_LOCAL_MACHINE:SOFTWARE\\Compa nyname\\productname\\ck:pkcs#11dll SmartCardMiddelwarePath= c:\path\to\middleware\mdlw.dll // New Token description#1 [3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01] mask="ff:ff:ff:ff:ff:ff:ff:00:ff:00:00:ff:ff:00:00:00:ff" scname="card Name" manufacturer="company Name" pkcs11dllname="mdlw.dll" registry="key_local_machine:software\\companyname\\productname \\CK:PKCS#11DLL" 6. Options de ligne de commande de l'installation Deux paramètres "Options PKI" peuvent être spécifiés en ligne de commande de l'installation : 1/ pkicheck (équivalent au paramètre PkiCheck du fichier VpnSetup.ini, Cf chapitre 4.1) 2/ smartcardroaming (équivalent au paramètre SmartCardRoaming du fichier VpnSetup.ini, Cf chapitre 4.1)) REMARQUES IMPORTANTES : 1/ Les paramètres "Options PKI" spécifiés dans le fichier VpnSetup.ini ont priorité sur les paramètres passés en ligne de commande. 2/ Dans la ligne de commande, veiller à ce qu'il n'y ait pas d'espace entre l'option, le signe "=", et sa valeur.

6.1.1. --pkicheck Syntaxe : --pkicheck=1 Usage : cette option doit être soit définie, avec la valeur 1, soit pas définie. Exemple : Vpnclient_setup.exe --pkicheck=1 6.1.2. -- smartcardroaming Syntaxe : -- smartcardroaming=1 Usage : cette option doit être soit définie, avec la valeur 1,2,3,4 ou 5 (Cf chapitre 4), soit pas définie. Exemple : Vpnclient_setup.exe -- smartcardroaming=1 7. Support Informations et mises à jour sur le site web TheGreenBow : http://www.netasq.com Support technique par email à : support@netasq.com Contact commercial par email à : sales@thegreenbow.com

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back