Ajout d’informations supplémentaires :
Mais qu’en est-il du VPN CLient (poste de travail) chargeons-nous le même certificat ou devons-nous acheter des certificats également pour les clients.

-Chaque client s’inscrira à son propre certificat d’identité personnel qui peut / sera utilisé pendant le processus d’intégration pendant la négociation. Les clients auront besoin que la chaîne de certificats (certificats racine/intermédiaires) soit correctement importée dans ses magasins d’approbations afin que le certificat d’identité du client externe soit approuvé. Cela aidera à mieux comprendre l’utilisation des certificats et l’idée globale du fonctionnement des choses. Jetez un coup d’œil à ceci: Comment implémenter des certificats numériques dans ISE - Cisco Community

Salut

1. Tout d’abord, ce que @Mohammed al Baqari a dit est tout à fait correct. Il serait plus logique d’avoir votre propre infrastructure de certificat PKI « interne » en place pour les exigences de tunneling VPN

a) Gérer plusieurs clients avec des certificats achetés commercialement serait « lourd » et assez « coûteux »

b) Chaque client VPN (poste de travail) nécessitera un certificat distinct (certificat de machine et non certificat d’utilisateur) qui doit être installé dans le magasin de certificats de machine de ce poste de travail

Remarque: Windows et MacOS ont des magasins de certificats distincts, l’un pour les certificats local-machine (utilisé pour IPsec-VPN) et l’autre pour le magasin de certificats utilisateur à usage général (utilisé par les clients Browser /sslvpn, etc.). Vous devez donc installer des certificats pour ipsec dans le magasin de machines uniquement

2. Combien de clients ipsec ikev2 prévoyez-vous de connecter au serveur C2S-IKEv2-VPN sur RV340 ?

- cela décidera pour vous du point 1b ci-dessus, si vous souhaitez acheter sur des sites de certification commerciaux ou avoir votre propre serveur CA interne

3. Quel type de clients IKEv2-VPN (stations de travail) utiliserez-vous - tous les clients Windows-IKEv2-Native (sur les ordinateurs portables / PC Windows) ou y aura-t-il des clients MacOS / iOS, des clients Greenbow-IKEv2-VPN également? ???

- Je pose des questions sur les types de clients, car il existe des bizarreries d’implémentation spécifiques intégrées dans les clients windows / macos / ios qui nécessitent certains paramètres dans le certificat que vous utiliserez pour la passerelle vpn-server (le RV340)

4. Veuillez noter, dites si le nom de domaine de votre organisation est « example.com », donc:

a) si votre nom dns public/FQDN-fully-qualified-domain-name de votre RV340 dit « rv340gw.example.com », alors où que vous décidiez d’obtenir le certificat de périphérique pour RV340/vpn-server (commercial ou interne-CA), assurez-vous que dans la CSR, vous devez définir common-name/CN=rv340gw.example.com et vous devez également définir le subject-Alt-name sur rv340gw.example.com

b) parce que dans la configuration de windows-ikev2-client à l’aide de Certs/EAP,

- vous devez vous assurer d’installer le certificat RootCA qui a signé le certificat du serveur VPN et

- vous devez mentionner l’adresse du serveur comme « rv340gw.example.com » (qui sera résolue par le serveur dns utilisé par le client Windows à l’adresse publique de l’interface wan1/wan2 de RV340)

- et le point-4a devient important car, lors de la négociation IKE, lorsque le vpn-server envoie son certificat au client windows, le client essaiera de faire correspondre l’adresse-serveur (le nom_dns/fqdn) soit dans le champ CN/common-name du certificat-serveur, soit dans le champ subject-alt-name du certificat-serveur.... l’un d’eux doit correspondre, sinon la négociation ike est arrêtée par le client

- Un processus similaire se produit sur les clients MacOS / ioS ikev2 en utilisant Certs / EAP

Remarque: Il s’agit d’une bizarrerie / comportement sur les clients pas sur RV340 (ou tout autre serveur VPN IKEv2), ces clients sont implémentés comme ceci

Salut

>>>Nous sommes une petite organisation dont nous n’avons besoin que d’au plus moins de 10 personnes qui ont besoin du VPN, n’est-ce toujours pas pratique, avons-nous encore >>> besoin de faire un serveur CA interne

1. Eh bien, cela dépend. Si vous n’avez aucun problème avec les coûts / budget / dépenses pour l’achat de certificats distincts pour le serveur VPN et 10 clients VPN, vous pouvez aller de l’avant et obtenir les certificats auprès d’une autorité de certification commerciale et installer ces certificats dans RV340 et dans les 10 clients.

2. MAIS dans les deux cas (soit vous procurer auprès d’une autorité de certification commerciale, soit créer vos propres certificats en installant votre propre autorité de certification interne sur une machine interne), vous DEVEZ vous souvenir de 1 chose:

- Pour le certificat sur VPN-Server (RV34X), assurez-vous que

a) la valeur fieild « Common Name/CN » est définie sur un nom de domaine complet/DNS du serveur VPN tel que votre nom de domaine dns enregistré (disons pour l’hypothèse de son « example.com ») tel que vpnservergw.example.com ou rv34x.example.com OU si vous utilisez un serveur dyns-dns, il peut être rv34x.dyndns.org ou vpnservergw.dyndns.org

b) le même nom de domaine complet dans le CN/CommonName doit également être défini comme « subject-Alt-Name » dans le certificat :

DNS:rv34x.exemple.com

ou

DNS:vpnservergw.exemple.com

ou

DNS:rv34x.dyndns.org

- Pour les 10 clients-certificats, assurez-vous que chacun des certificats-clients a une valeur individuelle/distincte pour le champ subject-alt-name dans le certificat client sous la forme d’email-id, comme ci-dessous (en supposant que vous utilisez votre nom de domaine enregistré « example.com »

pour le certificat client1, le nom subject-alt-name doit être défini comme par exemple : client1@example.com

pour le certificat client2, le nom subject-alt-name doit être défini comme par exemple : client2@example.com

pour le certificat client3, le nom subject-alt-name doit être défini comme par exemple : client3@example.com

.... et ainsi de suite

>>>> Votre réponse me fait réaliser que nous ne décidons peut-être pas correctement. Dans notre cas, un PSK serait-il aussi sûr qu’un certificat? Dans mon >>>mind, le grand avantage du certificat est que nous pouvons expirer / invalider les certificats via l’autorité de certification, mais s’il n’y a que 10 d’entre nous et seulement 1 site, je >>>pourrait facilement annuler ou modifier le PSK. Qu’en penses-tu.

Ok, les informations que vous devez connaître en référence aux serveurs IKEv2-VPN pour les clients IKEv2-VPN sont:

Il peut y avoir différentes méthodes qui pourraient être confgurées / définies, mais par configurations de base standard, il existe 3 méthodes pour confgurer / utiliser le serveur VPN IKEv2 pour les clients VPN

1. Le serveur VPN IKEv2 utilisant PSK pour l’authentification

- Ici, l’authentification psk consiste à authentifier mutuellement le serveur VPN et les clients VPN en tant que pairs ipsec, et donc il n’y a PAS de nom d’utilisateur / mot de passe impliqué dans cet établissement de tunnel

- Seuls les clients Greenbow et MacOS/iOS IKEv2 prennent en charge cette méthode

- Le client windows-IKev2 natif ne prend pas en charge l’ikev2-auth basé sur PSK (il ne prend en charge que Certificates-Only et EAP-Mschapv2 avec nom d’utilisateur/passwd, ainsi que EAP-TLS)

2. Serveur VPN IKEv2 utilisant des certificats pour l’authentification ike

a) Ici aussi, seuls les certificats sont utilisés à la fois sur le serveur VPN et les clients pour l’authentification mutuelle des pairs IPsec (serveur et client)

- et il n’y a pas d’utilisation de nom d’utilisateur/mot de passe pour l’authentification étendue

- Le client windows-IKEv2 natif prend en charge cela (vous devez sélectionner la case d’option « certificats machine » dans les sections de configuration du client)

- Les clients Greenbow et MacOS / iOS prennent également en charge

- Dans ce cas, le serveur et les clients doivent avoir leurs propres certificats distincts qui seront utilisés pour effectuer l’authentification mutuelle IKEv2 des pairs.

b) Alors, comment chacun des types de clients obtient-il l’authentification ikev2 à l’aide de certificats?

Sur le client IKEv2 natif Windows

----------------------------

- En ce qui concerne le client windows-ikev2 natif, il n’y a pas de configuration pour définir/sélectionner la valeur subject-alt-name dans le client-cert.

- Ainsi, windows first server enverra son certificat serveur qui sera vérifié/authentifié sur le client windows à l’aide du certificat Root-CA du certificat serveur qui a été importé dans le client précédemment. Ensuite, le client Windows lui-même enverra simplement le champ de nom d’objet (connu sous le nom de champ DN ou simplement ASN1DN) de son client-cert au serveur VPN qui sera vérifié et validé sur le serveur VPN à l’aide du rootCA-cert qui avait signé le client-cert

Sur Greenbow-client

-------------------

- Sur ce client, il serait préférable d’utiliser la valeur U-FQDN dans son certificat client en tant qu’ID local

- et donc d’abord il va authentifier le certificat du serveur à l’aide du certificat Root-CA qui a signé le server-cert

- et ensuite, le client GB enverra son certificat au serveur, où en fonction des configurations, le vpn-server utilisera soit le champ d’objet du client-cert OU vérifie le subject-altname pour la valeur U-FQDN (clientX@example.com) dans le client-cert et correspond à la valeur de l’identificateur distant qui a été configuré sur le serveur vpn

Sur le client MacOS

---------------

- Ici, nous allons configurer la valeur UFQDN dans le champ subject-alt-name du client-cert installé sur ce macOS

- Cette valeur sera configurée en tant que Local-ID dans le client macOS

- Le processus d’authentification du certificat vpn-server sur mac-client à l’aide du certificat RootCA, et l’authentification du client en fonction de la valeur du champ Remote-ID défini sur le serveur. L’ID requis/pertinent est vérifié dans le champ subject-alt-name du client-cert

3. Serveur VPN IKEv2 utilisant des méthodes EAP (telles que EAP-Mschapv2 avec nom d’utilisateur / passwd)

- Ici, dans ce cas, le vpn-server sera authentifié à l’aide du server-cert envoyé au client (vérifié sur le client à l’aide du RootCA-cert que vous aviez importé sur le client au début lui-même)

- Et sur le client, il n’y a AUCUN certificat installé.

- Et le client s’authentifiera à l’aide d’EAP (dans ce cas, ce sera EAP-Mschapv2 en utilisant le username-passwd configuré sur les clients)

Salut

>>>Je crois que pour le serveur, nous avons besoin d’un certificat TLS / SSL OV de base,

D’accord. Mais essayez de vous assurer que les paramètres ci-dessous dans le certificat signé

a) Assurez-vous que le CN/Common Name est défini sur le fqdn/dns-name du serveur vpn (tel que rv34x.cisconet.local) et que le subjectAltName est défini sur le même fqdn/dnsname

b) demander (ou le sélectionner vous-même si c’est disponible) les paramètres/paramètres supplémentaires suivants (extended-Key-Usage - EKU) dans le certificat serveur

Le paramètre OID 1.3.6.1.5.5.7.3.5 est utilisé pour le système d’extrémité IPSec

et/ou

IP Security IKE Intermediate » EKU avec OID 1.3.6.1.5.5.8.2.2

>>>>mais pour les clients, qu’obtenons-nous Client obtenons-nous le même certificat OV de base?

- La même chose que servergw, mais ici aussi :

a) s’assurer que nom_commun/CN est défini sur un nom de client

ET

- s’assurer qu’un subjectAltName est défini séparément pour chacun des certificats clients au format U-FQDN (tel que client1@example.com)

- et assurez-vous également de demander le réglage des OID indiqués ci-dessus (en EKU) dans les certificats clients,