VPN Client Software Deployment Guide (PKI Options)

USER GUIDE
NETASQ CLIENT VPN IPSEC
GUIDE DE DÉPLOIEMENT
OPTIONS PKI
Site Web : http://www.netasq.com
Contact : [email protected]
Référence : naengde_vpn_client-version-5.5_deployment
Décembre 2012 (Mise à jour)
Copyright NETASQ 2012
USER GUIDE
Table des matières
1
INTRODUCTION
3
1.1 Références .......................................................................................................................................................... 3
2
CONFIGURATION DU LOGICIEL POUR LE DEPLOIEMENT
4
3
OPTIONS PKI
5
3.1 Caractérisation des cartes à puce ou tokens ....................................................................................................... 5
3.2 Sélection du certificat sur la carte à puce ou token ............................................................................................. 5
3.3 Utilisation des certificats .................................................................................................................................... 6
4
FICHIER VPNSETUP.INI
7
4.1 Syntaxe ............................................................................................................................................................... 7
5
FICHIER VPNCONF.INI
8
5.1 Syntaxe ............................................................................................................................................................... 9
6
OPTIONS DE LIGNE DE COMMANDE DE L'INSTALLATION
11
7
SUPPORT
12
Copyright NETASQ 2012
USER GUIDE
1. Introduction
Ce document décrit les nouvelles fonctions du Client VPN NETASQ dédiées à l'intégration du
Client VPN dans une PKI (Public Key Infrastructure) / IGC (Infrastructure de Gestion de Clés)
Ces nouvelles fonctions permettent :
- de caractériser les cartes à puces et les tokens exploités par le logiciel Client VPN,
- de configurer la manière de sélectionner les certificats sur une carte à puce ou
sur un token,
- de configurer l'utilisation des certificats avec le logiciel Client VPN.
Ces nouvelles fonctions sont activables via la configuration des paramètres décrits dans ce
document.
Ces paramètres, appelés "Options PKI", sont configurables :
- Dans un fichier d'initialisation de l'installation du logiciel : VpnSetup.ini
- Via des options de ligne de commande de l'installation du logiciel
- Dans un fichier d'initialisation du logiciel une fois installé : VpnConf.ini
Ces paramètres "Options PKI" sont aussi configurables intégralement via le Panneau de
Configuration du logiciel Client VPN, comme décrit au chapitre "Gestion des Certificats
(Options PKI)"
du "Guide Utilisateur du Client VPN NETASQ". (référence :
nafrgde_vpn_client-version-5.5.pdf)
Ce document s'attache toutefois à décrire toutes les possibilités de configuration de ces
paramètres au cours du déploiement du logiciel. En ce sens, il s'adresse à l'administrateur
réseau, plutôt qu'à l'utilisateur.
Ce document est une extension du "Guide de Déploiement du Client VPN NETASQ'".
1.1.
Références
Intitulé
Référence
Adresse de
téléchargement
Guide Utilisateur
du Client VPN NETASQ
nafrgde_vpn_client-version-5.5.pdf
http://vpn.netasq.com
Guide de Déploiement
du Client VPN NETASQ
nafrgde_vpn_client-version5.5_deployment.pdf
http://vpn.netasq.com
Copyright NETASQ 2012
USER GUIDE
2. Configuration du logiciel pour le déploiement
Le Client VPN peut être configuré au cours de son installation et pour son premier
lancement par les trois moyens suivants :
1/ Fichier d'initialisation accompagnant l'installation du logiciel : VpnSetup.ini
2/ Options de ligne de commande de l'installation
3/ Fichier d'initialisation du logiciel Client VPN à chaque lancement : VpnConf.ini
Ces fichiers de déploiement doivent se situer dans les répertoires suivants :
- le fichier "VpnSetup.ini" doit être situé dans le même répertoire que celui dans
lequel est exécutée l'installation du Client VPN : Vpnclient_setup.exe
- le fichier "VpnConf.ini" doit être situé dans le même répertoire que celui dans
lequel est installé et s'exécute le logiciel Client VPN NETASQ.
Déploiement
Exploitation
vpnSetup.ini
vpnConf.ini
- Quel token ?
- Quel certificat ?
- Utilisation ?
INSTALLATION du logiciel
Nouveau token !
(Caractéristiques
techniques)
EXECUTION du logiciel
Accède au bon token
Lit le bon certificat
Ces différents moyens de configuration du logiciel au cours de son installation, permettent
par exemple de préparer le déploiement du Client VPN sur des plates-formes hétérogènes,
équipées de lecteurs de cartes à puce différents, mais dont les certificats à exploiter
présentent les mêmes caractéristiques (par exemple, les certificats à utiliser sont de type
"authentification").
Autre exemple : Le Client VPN peut être déployé sur des plates-formes équipées de tokens
qui lui sont inconnus. Le fichier de configuration permet au Client VPN de les reconnaître.
Copyright NETASQ 2012
USER GUIDE
3. Options PKI
3.1.
Caractérisation des cartes à puce ou tokens
Il est possible de caractériser, au cours de l'installation du logiciel, la carte à puce ou le
token exploité par le Client VPN NETASQ, selon les trois modes suivants :
- Le lecteur de carte à puce à utiliser est celui qui est spécifié dans la politique de
sécurité VPN (fichier de configuration VPN), qui peut être joint à l'installation
du logiciel,
- Le lecteur de carte à puce à utiliser est celui qui est spécifié dans le fichier
d'initialisation du Client VPN : VpnConf.ini,
- Le lecteur de carte à puce à utiliser est le premier lecteur de carte à puce
trouvé, branché et contenant une carte à puce.
Le Client VPN NETASQ peut accéder aux middlewares des cartes à puces ou des tokens, en
mode CSP (Cryptographic Service Provider) ou en mode PKCS#11. Par défaut, il accède à ces
middlewares en mode CSP.
Il est possible de configurer (forcer) le Client VPN pour accéder aux middlewares en mode
PKCS#11 par défaut.
NOTE :
Lorsque le Client VPN NETASQ accède au magasin de certificats Windows, il y
accède toujours en mode CSP.
Paramètres concernés dans la suite du document : "SmartCardRoaming" et "PKC11Only"
3.2.
Sélection du certificat sur la carte à puce ou token
Il est possible de caractériser le certificat utilisé sur la carte à puce ou le token, par la
combinaison des options suivantes :
- Le certificat à utiliser est celui dont le sujet est renseigné dans la politique de
sécurité VPN (Configuration VPN)
- Le certificat à utiliser est de type "'Authentification", autrement dit son "Key
Usage" contient l'attribut "Digital Signature",
- Le sujet du certificat ne doit pas être pris en compte : le premier certificat
trouvé est utilisé.
Paramètres concernés dans la suite du document : "SmartCardRoaming" et "KeyUsage".
Copyright NETASQ 2012
USER GUIDE
3.3.
Utilisation des certificats
3.3.1. Certificats racines
Lorsqu'un Client VPN et une passerelle VPN utilisent des certificats issus d'autorités de
certification différentes (pour être précis : issus d'autorités de certification intermédiaires
différentes, placées sous une même autorité de certification racine), il est nécessaire
d'adapter le protocole IKE.
Il est possible de configurer le Client VPN NETASQ pour s'adapter à une telle configuration.
Paramètre concerné dans la suite du document : "NoCACertReq".
3.3.2. Certificat de la passerelle VPN
Il est possible de forcer le Client VPN NETASQ à vérifier la chaîne de certification du certificat
reçu de la passerelle VPN.
Cela nécessite d'importer le certificat racine et tous les certificats de la chaîne de
certification (l’autorité de certification racine et les autorités de certification intermédiaires)
dans le magasin de certificats Windows.
Le Client VPN utilisera aussi la CRL (Certificate Revocation List) des différentes autorités de
certification.
Si ces CRL sont absentes du magasin de certificats, ou si ces CRL ne sont pas téléchargeables
à l'ouverture du tunnel VPN, le Client VPN ne sera pas en mesure de valider le certificat de la
passerelle.
La vérification de chaque élément de la chaîne implique :
 la vérification de la date d'expiration du certificat
 la vérification de la date de début de validité du certificat
 la vérification des signatures de tous les certificats de la chaîne de certificats
(y compris le certificat racine, certificats intermédiaires et le certificat du
serveur)
 la mise à jour des CRL de tous les émetteurs de certificats de la chaîne de
certification en procédant comme suit:
- Récupération de tous les CRL Distribution Points (i.e CDP) du certificat
qui doit être vérifié et autres certificats,
- Téléchargement de la CRL sur différentes Distribution Points
disponibles,
- Vérification de la date d'expiration de la CRL,
- Vérification de la signature de la CRL avec la clé publique du certificat de
l'émetteur,
- Importation de la liste de révocation dans le magasin de certificat,
 la vérification de l'absence de révocation de certificats dans les listes de CRL
correspondantes.
Paramètre concerné dans la suite du document : "PkiCheck".
Copyright NETASQ 2012
USER GUIDE
4. Fichier VpnSetup.ini
Le fichier VpnSetup.ini permet de paramétrer l'installation du logiciel Client VPN NETASQ.Il
doit être situé dans le même répertoire que l'exécutable d'installation :
Vpnclient_setup.exe.
REMARQUE :
Le fichier VpnSetup.ini est un fichier texte éditable avec notepad par exemple.
4.1.
Syntaxe
Le fichier VpnSetup.ini se compose de plusieurs sections, clés et valeurs optionnelles.
Les paramètres "Options PKI" sont définis dans la section "[PKIOptions]".
Paramètres
SmartCardRoaming
PKCS11Only
KeyUsage
PkiChek
NoCACertReq
Valeur
Signification
Chap
Non
défini
Lecteur de Carte configuré dans la Configuration
VPN
Sujet du certificat dans la Configuration VPN
0
3.2
"01"
Lecteur de Carte configuré dans la Configuration
VPN
Sujet du certificat non pris en compte
0
3.2
"02"
Lecteur de Carte configuré dans le fichier
VpnConf.ini
Sujet du certificat dans la Configuration VPN
0
3.2
"03"
Lecteur de Carte configuré dans
VpnConf.ini
Sujet du certificat non pris en compte
fichier
0
3.2
"04"
1er lecteur de carte branché contenant une carte à
puce
Sujet du certificat dans la Configuration VPN
0
3.2
"05"
1er lecteur de carte branché contenant une carte à
puce
Sujet du certificat non pris en compte
0
3.2
Non
défini
"01"
Le mode CSP est utilisé par défaut
Non
défini
"01"
Type du certificat non vérifié
Non
défini
"01"
Certificat de la Passerelle VPN non vérifié
Non
défini
"01"
le
Forcer le mode PKCS#11
0
Certificat de type "Authentification"
3.2
Vérification du certificat de la Passerelle VPN
3.3.2
Autorités de
différentes
3.3.1
certification
Client /
Passerelle
Copyright NETASQ 2012
USER GUIDE
Exemple:
[PKIOptions]
PkiCheck=01
SmartCardRoaming=01
NoCACertReq=01
KeyUsage=01
PKCS11Only=01
5. Fichier VpnConf.ini
Le fichier VpnConf.ini est pris en compte au démarrage du logiciel Client VPN NETASQ.
Il est utilisé pour caractériser le lecteur, la carte à puce ou le token que le logiciel doit
exploiter.
Il doit être situé dans le répertoire d'installation du logiciel (p.ex.: "C:\Program
Files\TheGreenBow\TheGreenBow VPN").
NOTE :
Le Client VPN NETASQ reconnaît en standard les cartes à puce ou tokens USB des
principaux fabricants (Gemalto, Oberthur, Schlumberger, Aladdin, SafeNet, Feitian,
...). Les cartes sont automatiquement reconnues en fonction de leur "ATR" et le
Client VPN utilise le middleware associé, de type CSP ou PKCS#11.
La configuration du fichier VpnConf.ini permet toutefois à l'administrateur de spécifier ses
propres cartes ainsi que les chemins d'accès à leurs middlewares.
REMARQUE :
Le fichier VpnConf.ini est un fichier texte éditable avec notepad par exemple.
Copyright NETASQ 2012
USER GUIDE
5.1.
Syntaxe
Le fichier VpnConf.ini se compose de plusieurs sections, clés et valeurs optionnelles.
Les paramètres "Options PKI" se répartissent dans les deux sections suivantes :
1/ La section "[ROAMING]" spécifie le lecteur de carte ou le token qui doit être
utilisé
2/ La section ATR permet de définir les tokens ou cartes à puce qui ne sont pas
encore reconnus automatiquement par le Client VPN NETASQ.
5.1.1. Section ROAMING
La section ROAMING permet de spécifier le lecteur de carte à puce ou le token qui doit être
utilisé.Cette section optionnelle doit être unique.
Les paramètres de la section"[ROAMING]" sont les suivants :
Paramètre
Signification
SmartCardReader
Nom du lecteur de carte à utiliser pour accéder au Token
SmartCardMiddleware
fichier DLL utilisé pour communiquer avec le Token
SmartCardMiddlewareType
PKCS#11
SmartCardMiddelwarePath
Chemin d'accès au middleware, y compris le nom du
middleware
SmartCardMiddlewareRegistry
Nom de la clé en base de registre contenant le chemin d'accès
au middleware
Exemple:
[ROAMING]
SmartCardReader="Axalto reader"
SmartCardMiddleware="middleware.dll"
SmartCardMiddlewareType="PKCS#11"
SmartCardMiddelwarePath=”c:\path\to\middleware\mdlw.dll”
SmartCardMiddlewareRegistry=”HKEY_LOCAL_MACHINE:SOFTWARE\\Axal
to\\Access\\CK:PKCS#11DLL”
Copyright NETASQ 2012
USER GUIDE
REMARQUES IMPORTANTES :
1/ La section "[ROAMING]" du fichier VpnConf.ini n'est prise en compte par le
logiciel que si le paramètre "SmartCardRoaming" est utilisé au cours de
l'installation, et vaut "02" ou "03" (Cf. chapitre 4)
2/ Les informations de la section "[ROAMING]" du fichier VpnConf.ini prévalent
sur les éventuelles informations similaires qui pourraient être mémorisées dans
la politique de sécurité VPN (configuration VPN)
3/ Au moins l'un des deux paramètres SmartCardMiddlewareRegistry ou
SmartCardMiddelwarePath doit obligatoirement être défini.
4/ "PKCS#11" est la seule valeur possible pour le paramètre
SmartCardMiddlewareType.
5.1.2. Section ATR
La section ATR permet de spécifier les attributs du token.
Il est possible de définir plusieurs tokens. Chaque section indique les paramètres d’un
nouveau token.
Les paramètres de la section ATR sont les suivants :
Paramètre
Signification
[ATR#]
Nom de la section = id du Token
mask
masque pour cet ATR
scname
nom du Token
manufacturer
nom du fabricant
pkcs11DllName
nom de la DLL PKCS#11
registry
nom de la clé en Registry indiquant le chemin d'accès au middleware
DllPath
chemin d'accès aux DLL PKCS#11
Exemple:
[3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01]
mask="FF:FF:FF:FF:FF:FF:FF:00:FF:00:00:FF:FF:00:00:00:FF"
scname="Access"
manufacturer="Axalto"
pkcs11DllName="mdlw.dll"
registry="KEY_LOCAL_MACHINE:SOFTWARE\\Axalto\\Access\\CK:PKCS#
11DLL"
Copyright NETASQ 2012
USER GUIDE
REMARQUES IMPORTANTES :
1/ Au moins l'un des deux paramètres registry ou DllPath doit obligatoirement
être défini.
5.1.3. Exemple
[ROAMING]
SmartCardReader="Reader Name"
SmartCardMiddleware="middleware.dll"
SmartCardMiddlewareType="PKCS#11"
SmartCardMiddlewareRegistry=”KEY_LOCAL_MACHINE:SOFTWARE\\Compa
nyName\\ProductName\\CK:PKCS#11DLL”
SmartCardMiddelwarePath=”c:\path\to\middleware\mdlw.dll”
// New Token description#1
[3B:0F:52:4E:42:4F:24:00:23:00:00:00:00:00:00:00:01]
mask="FF:FF:FF:FF:FF:FF:FF:00:FF:00:00:FF:FF:00:00:00:FF"
scname="Card Name"
manufacturer="Company Name"
pkcs11DllName="mdlw.dll"
registry="KEY_LOCAL_MACHINE:SOFTWARE\\CompanyName\\ProductName
\\CK:PKCS#11DLL"
6. Options de ligne de commande de l'installation
Deux paramètres "Options PKI" peuvent être spécifiés en ligne de commande de
l'installation :
1/ pkicheck (équivalent au paramètre PkiCheck du fichier VpnSetup.ini, Cf chapitre
4.1)
2/ smartcardroaming (équivalent au paramètre SmartCardRoaming du fichier
VpnSetup.ini, Cf chapitre 4.1))
REMARQUES IMPORTANTES :
1/ Les paramètres "Options PKI" spécifiés dans le fichier VpnSetup.ini ont priorité
sur les paramètres passés en ligne de commande.
2/ Dans la ligne de commande, veiller à ce qu'il n'y ait pas d'espace entre l'option,
le signe "=", et sa valeur.
Copyright NETASQ 2012
USER GUIDE
6.1.1. --pkicheck
Syntaxe : --pkicheck=1
Usage : cette option doit être soit définie, avec la valeur 1, soit pas définie.
Exemple : Vpnclient_setup.exe --pkicheck=1
6.1.2. -- smartcardroaming
Syntaxe : -- smartcardroaming=1
Usage : cette option doit être soit définie, avec la valeur 1,2,3,4 ou 5 (Cf chapitre 4), soit pas
définie.
Exemple : Vpnclient_setup.exe -- smartcardroaming=1
7. Support
Informations et mises à jour sur le site web TheGreenBow : http://www.netasq.com
Support technique par email à : [email protected]
Contact commercial par email à : [email protected]
Copyright NETASQ 2012