Utilisation des Certificats
Cette section explique comment générer des certificats, convertir des certificats au format PEM et importer des certificats dans le Client VPN IPSec TheGreenBow.
Guide Utilisateur Certificats
Pour les utilisateurs souhaitant mettre en oeuvre des Certificats, nous proposons un Guide qui détaille la procédure
pour générer puis exploiter les Certificats avec le Client VPN IPSec.
 |
Guide Utilisateur Certificats (english) |
Certificate generation tool
Il est nécessaire d'utiliser une Autorité de Certification indépendante pour générer un Certificat X509 exploitable
par le Client VPN IPSec pour sécuriser l'ouverture d'un tunnel. Un Certificat X509 peut être généré de plusieurs
façons différentes, par exemple en utilisant le Serveur de Certificats Microsoft (i.e. Microsoft Certificate Service)
disponible sur Windows 2000-2003 Server, OpenSSL ou même certains routeurs VPN.
 |
Certificat Script |
Commandes en ligne du Client VPN IPSec
Arrêter le Client VPN IPSec
Le Client VPN IPSec TheGreenBow peut être arrêté à tout moment avec l'option de ligne de commande: "/stop"
Exemple: " vpnconf.exe /stop "
Cette fonctionnalité permet de mettre en oeuvre le Client VPN dans un script, qui l'ouvre au moment de la connexion au réseau, et le ferme au moment de la déconnexion.
Note: Lorsque le Client VPN s'arrête, les tunnels ouverts sont fermés automatiquement.
Exemple: " vpnconf.exe /stop "
Cette fonctionnalité permet de mettre en oeuvre le Client VPN dans un script, qui l'ouvre au moment de la connexion au réseau, et le ferme au moment de la déconnexion.
Note: Lorsque le Client VPN s'arrête, les tunnels ouverts sont fermés automatiquement.
Ouvir et Fermer des Connexions VPN
Le Client VPN IPSec TheGreenBow peut ouvrir et fermer des connexions VPN à tout moment via la ligne de commande: "/open", "/close"
- /open:[NomPhase1-NomPhase2]
Cette option permet d'ouvrir un tunnel VPN.
Exemple: vpnconf.exe /open :Corporate-gateway1 - /close:[NomPhase1-NomPhase2]
Cette option permet de fermer un tunnel VPN.
Exemple: vpnconf.exe /close :"Home gateway-cnx1" (guillemets nécessaires car le nom contient un espace).
Importer une Configuration VPN
Le Client VPN IPSec TheGreenBow peut importer une configuration VPN spécifique via la ligne de commande:
"/import:" ou "/importonce:"
Exemple: " vpnconf.exe /importonce:"C:\Mes documents\config.tgb" "
Exemple: " vpnconf.exe /importonce:"C:\Mes documents\config.tgb" "
-
/import: peut être utilisé que le Client VPN soit lancé ou pas. Lorsque le Client VPN IPsec est déjà lancé, il importe dynamiquement la nouvelle configuration VPN et l'applique automatiquement (i.e. redémarre le service IKE). Si le Client VPN IPSec n'est pas lancé, il est automatiquement lancé avec la nouvelle configuration VPN.
L'option "/import" peut être utilisée pour ouvrir un tunnel par double-clic sur un fichier de configuration VPN ".tgb" (aussi appelé "dial-up mode"): Cela permet par exemple d'ouvrir un tunnel avec un double clic sur un ".tgb" sur le bureau, ou de déployer une configuration par courrier électronique. - /importonce: permet d'importer une configuration VPN sans avoir à lancer le Client VPN IPSec. Cette commande est tout particulièrement désignée pour des scripts d'installation : elle permet par exemple de dérouler une installation silencieuse au cours de laquelle est importée une configuration VPN donnée.
- /replace: permet de remplacer la configuration actuelle par une nouvelle configuration VPN. Cette fonctionnalité est disponible dans la version 4.1 du logiciel et suivantes, et peut être utilisé à la place de l'option /importonce pour importer une configuration VPN sans lancer le Client VPN.
- /add: permet d'importer une nouvelle configuration VPN dans une configuration VPN existante et de fusionner les deux en une seule configuration VPN. Cette ligne de commande peut être utilisée que le Client VPN soit lancé ou non. Cette commande ne démarre pas le Client VPN si il n'est pas déjà lancé.
|
Depuis la release 3.1 du Client VPN IPSec TheGreenBow, les certificats peuvent être embarqués de façon sécurisée dans la configuration VPN. Pour plus de détails, voir le Guide Utilisateur Client VPN IPSec. |
Exporter une Configuration VPN
Le Client VPN IPSec TheGreenBow permet d'exporter une configuration VPN spécifique, en utilisant la commande :
"/export:" ou "/exportonce:"
Exemple: " vpnconf.exe /export:"C:\Mes documents\export.tgb" "
"/export:" peut être utilisée que le Client VPN IPSec soit lancé ou non. Lorsque le Client VPN IPSec est lancé, il exporte dynmiquement sa configuration VPN. Si le Client VPN IPSec n'est pas lancé, il est automatiquement lancé après avoir exporté sa configuration.
"/exportonce:" permet d'exporter la configuration VPN du Client VPN IPSec, sans le lancer. Cette commande est tout particulièrement désignée pour des scripts d'installation : elle permet par exemple de dérouler une désinstallation au cours de laquelle est automatiquement exportée la configuration VPN (à des fins de sauvegarde).
Exemple: " vpnconf.exe /export:"C:\Mes documents\export.tgb" "
"/export:" peut être utilisée que le Client VPN IPSec soit lancé ou non. Lorsque le Client VPN IPSec est lancé, il exporte dynmiquement sa configuration VPN. Si le Client VPN IPSec n'est pas lancé, il est automatiquement lancé après avoir exporté sa configuration.
"/exportonce:" permet d'exporter la configuration VPN du Client VPN IPSec, sans le lancer. Cette commande est tout particulièrement désignée pour des scripts d'installation : elle permet par exemple de dérouler une désinstallation au cours de laquelle est automatiquement exportée la configuration VPN (à des fins de sauvegarde).
|
Les 6 arguments "import", "importonce", "export", "exportonce", "replace" et "add" sont exclusifs et ne peuvent être utilisés ensemble. |
Meilleures implémentations utilisant les lignes de commande du Client IPSec VPN
- Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses connexions remote et machines virtualles. Ajouter, éditer, remplacer et trouver rapidement vos connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir automatiquement une session RDP et import un fichier de configuration VPN. Tres bien fait, voir le tutorial video.
Outils de Déploiement du Client VPN IPSec
Configuration VPN embarquée
Une Configuration VPN spécifique peut être embarquée dans le setup VPN. Cette configuration VPN sera automatiquement
importée au premier lancement du logiciel. Cette fonctionnalité permet d'embarquer une configuration pré-paramétrée
et de déployer ainsi des setups "customisés" aux utilisateurs finaux.
Voir aussi le Guide de Déploiement pour les détails de mise en oeuvre de cette fonctionnalité.
Voir aussi le Guide de Déploiement pour les détails de mise en oeuvre de cette fonctionnalité.
Options du Setup VPN
Le Setup VPN autorise plusieurs commandes en ligne. Ces options permettent de customiser l'installation du logiciel et doivent être précédées de 2 tirets.
- --start=[1(default)|2]:
Permet de définir le mode démarrage du logiciel:
- 1: le logiciel démarrera automatiquement après l'ouverture de session Windows. Pour ouvrir un tunnel VPN avant ouverture de session, consultez le "Mode Gina" dans le Guide Utilisateur Client VPN IPSec.
- 2: le logiciel démarrera uniquement sur action de l'utilisateur. - --guidefs=[full(default)|user|hidden]
Permet de définir l'affichage de l'interface à l'utilisateur:
- full: Panneau de Configuration
- user: Panneau de Connexion
- hidden: Aucune interface n'est affichée.
L'utilisateur peut uniquement ouvrir/fermer un tunnel via le menu
en barre système.
- --menuitem=[00-31(default)]
Permet de définir les items du menu contextuel associé à l'icône en barre système. Cette valeur est un champs de bits:
- 1: Quitter
- 2: Panneau de Connexion
- 4: Console
- 8: Sauver et Appliquer
- 16: Panneau de Configuration
Exemple: menuitem=5 configurera un menu avec les items Quitter + Console.
Note 1: Le tunnels sont toujours affichés dans le menu et peuvent toujours être ouverts/fermés depuis ce menu.
Note 2: 'Menuitem' et 'guidefs=hidden'.
Par défaut, guidefs=hidden positionne le menu à Quitter + Console.
Mais 'menuitem' est prioritaire par rapport à 'guidefs'. Ceci signifie que les options suivantes: "--guidefs=hidden --menuitem=1" afficheront un menu avec seulement l'item 'Quitter'. - --license=[license_number]
Permet d'embarquer le numéro de licence du logiciel. - --password=[password]
Permet de contrôler l'accès au Panneau de Configuration du Client VPN IPSec avec un mot de passe.
Ce mot de passe sera demandé à l'utilisateur lorsque:
- il clique ou double-clique sur l'icône en barre système
- il veut passer du Panneau de Connexion au Panneau de Config. - --activmail=[mail@company.com]
Permet de définir l'email auquel la confirmation d'activation sera envoyée. Cette fonction permet à un administrateur de vérifier l'activation des logiciels sur son parc, sur une unique adresse email. Lorsque cet email est pré-configuré, il ne peut être modifié par l'utilisateur. - --autoactiv, --noactiv, --lang
Consultez le Guide de déploiement pour le détail de ces options du setup VPN. - --pkicheck, --smartcardroaming
Permettent de configurer la façon de sélectionner des certificats depuis des lecteurs de cartes à puce et Tokens, et comment les certificats sont utilisés par le logiciel. Consultez le Guide de déploiement pour le détail de ces options du setup VPN.