Votre partenaire de solution réseaux fiables -

+33175432870
info@draytek.fr
12 rue des Chauffours
95000 Cery

Google map

Comment activer un serveur d’authentification pour du VPN SSL?
>
>
Comment activer un serveur d’authentification pour du VPN SSL?

Article sections

    L’authentification par serveur peut protéger les clients SSL contre les attaques de type «man-in-the-middle» en s’assurant que le client se connecte au serveur demandé. En tant que passerelle VPN SSL, les routeurs Vigor peuvent également créer une autorité de certification racine (CA) pour émettre des certificats de serveur requis pour la connexion SSL. Vous pouvez également exporter l’autorité de certification racine et l’importer dans la liste des autorités de certification approuvées sur les clients afin qu’ils puissent vérifier l’authenticité du certificat. Cet article explique comment créer un certificat de serveur pour VPN SSL, comment importer l’autorité de certification racine dans iOS et comment importer l’autorité de certification racine dans des téléphones Android.

    • DrayOS
    • Linux

    Création du certificat local

    1. Allez dans System Maintenance >> Time and Date pour vous assurer que les paramètres de l’heure du routeur soient corrects et qu’il est préférable de faire correspondre le fuseau horaire du client. Lors de l’authentification de l’identité du serveur, le client vérifie si la date et l’heure actuelles se situent dans la période de validité du certificat de serveur.

     

    2. Allez dans Certificate Management >> Trusted CA Certificate, cliquez sur Créer Root CA (autorité de certification racine).

    3. Terminez les informations suivantes:

    • Sélectionnez le type «None» pour Subject Alternative Name.
    • Remplissez le contenu, y compris l’emplacement, l’organisation, le nom et l’adresse électronique.
    • Sélectionnez Key Size “Taille de la clé” comme «2048 bits» pour une sécurité renforcée.
    • Cliquez sur Generate pour générer Root CA.

    4. La création du Root CA prendra quelques minutes. Attendez que l’état indique OK.


    5. Ensuite, générez un certificat local. Il s’agit du certificat que le routeur enverra aux clients VPN SSL. Accédez à Certificate Management >> Local Certificate, cliquez sur Generate (Générer).


    6. Terminez les champs ci-dessous avec les informations correctes:

    • Entrez le Certification Name (nom de certification)
    • Pour Subject Alternative Name, choisissez le type d’accès des clients VPN au routeur. Ici, nous sélectionnons l’adresse IP, par exemple.
    • Entrez l’adresse IP WAN du routeur pour IP Address. Il doit s’agir de l’adresse IP utilisée par les clients VPN pour leurs paramètres de serveur.
    • Entrez l’emplacement, l’organisation, le nom commun (CN) et l’adresse électronique. CN doit être identique à Subject Alternative Name, nous avons donc indiqué l’adresse IP ici.
    • Sélectionnez Key Size comme «2048 bits» pour une sécurité renforcée.
    • Cliquez sur Generate pour créer le certificat local.


    7. Patientez quelques minutes jusqu’à ce que la demande de signature soit prête, puis cliquez sur Sign pour signer le certificat avec Root CA.


    8. Sélectionnez la date d’expiration du certificat local et cliquez sur Sign.

    9. Assurez-vous que l’état du certificat local est OK.


    10. Nous pouvons maintenant utiliser le certificat pour le VPN SSL. Accédez à SSL VPN >> General Setup, sélectionnez le certificat créé à l’étape précédente pour Server Certificate. Cliquez sur OK pour enregistrer les paramètres.


    11. Les clients VPN peuvent désormais utiliser le “Match Server Name” (Nom du serveur de correspondance) pour la vérification. En d’autres termes, lors de l’établissement de la connexion SSL, il vérifiera si le nom de domaine ou l’adresse IP du certificat du serveur correspond au nom de domaine ou à l’adresse IP à laquelle il se connecte.

    Exportation de Root CA vers iOS

    1. Après avoir généré le Root CA dans Certificate Management >> Trusted CA Certificate, cliquez sur Export pour télécharger RootCA. Envoyez-le ensuite à la machine cliente par courrier électronique.


    2. Sur le périphérique client, ouvrez le fichier .crt.

    3. Appuyez sur Install, puis entrez le code d’authentification pour lancer l’installation.

     

    4. Lisez le message d’avertissement, puis appuyez sur Install.

     

    5. Une fois l’installation terminée, vous verrez que Root CA a été verified (vérifiée).

    6. Sur les périphériques client, sélectionnez General >> About >> Certificate Trust Settings, activez / activez le Root CA installée.

     

    6. Nous pouvons maintenant utiliser Verify RootCA pour les paramètres de vérification du certificat. En d’autres termes, lors de l’établissement de la liaison SSL, le périphérique vérifiera non seulement le certificat du serveur, mais également son émetteur. Il établira le VPN uniquement si le serveur présente un certificat signé par une autorité de certification racine approuvée.

    Importer RootCA sur des appareils Android

    1. Téléchargez le Root CA.

    2. Ouvrez le fichier .crt et utilisez-le pour le VPN and apps, puis tapez sur OK.

    1. Allez à System Maintenance >> Time and Date pour vous assurer que les paramètres de l’heure du routeur sont corrects et qu’il est préférable de faire correspondre le fuseau horaire du client. Lors de l’authentification de l’identité du serveur, le client vérifie si la date et l’heure actuelles se situent dans la période de validité du certificat de serveur.

    2. Certificate Management >> Trusted CA, cliquez sur Build Root CA,

    • Remplissez toutes les informations
    • Sélectionnez Key Size comme «2048 bits» pour une sécurité renforcée.
    • Tapez une CA Key Passphrase (une phrase secrète de clé de certification)
    • Cliquez sur Apply pour terminer les paramètres.

    3. Allez dans Certificate Management >> Local Certificate, puis cliquez sur Generate:

    • Sélectionnez ID Type comme nom de domaine ou adresse IP, cela dépend du client VPN utilisé pour se connecter au serveur.
    • Tapez ID Value comme nom de domaine ou adresse IP du routeur. Il doit s’agir de l’adresse IP ou du nom de domaine que les clients VPN utilisent pour leurs paramètres de serveur.
    • Remplissez toutes les informations
    • Sélectionnez “Enable” (Activer) pour Self Sign (l’auto-signature)
    • Entrez la CA Key Passphrase (phrase secrète de la clé CA) pour qu’elle corresponde à la CA Key Passphrase (la phrase secrète de la clé CA) de Root CA (l’autorité de certification racine).
    • Cliquez sur Apply pour terminer

    4. Allez dans System Maintenance >> Access Control >> Access Control et sélectionnez le certificat local créé pour Server Certificate (Certificat de serveur), puis cliquez sur Apply pour enregistrer.

    5. Les clients VPN peuvent désormais utiliser le “Match Server Name” (Nom du serveur de correspondance) pour la vérification. En d’autres termes, lors de l’établissement de la connexion SSL, il vérifiera si le nom de domaine ou l’adresse IP du certificat du serveur correspond au nom de domaine ou à l’adresse IP à laquelle il se connecte.

    Start typing and press Enter to search

    Shopping Cart

    Votre panier est vide.