Configurar VPN con doble autenticación mediante certificados en Checkpoint R80.10

Configurar VPN con doble autenticación mediante certificados en Checkpoint R80.10

En este post resumo los pasos a seguir para configurar la autenticación de usuarios, mediante certificado y/o doble autenticacióm con certificado y usuario y contraseña para VPN de acceso remoto; ya sea para usuarios internos o de Active Directory (con pequeños cambios sirve para LDAP).

Integrar la autenticación con Microsoft Active Directory

Integrar Checkpoint con Active Directory

  1. Botón derecho y New>LDAP Account Unit
  2. Si se require configurar el cifrado en la pestaña “Encryption
  3. Repetir los pasos 6,7 y 8 para cada controlador de dominio del dominio, establecer la prioridad según la distancia del controlador, o cualquier otra razón para priorizar un servidor frente al resto, en caso contrario dejar todos igual.

Agregar la CA del AD como CA de confianza

  1. Botón derecho y New>Trusted CA
  2. Pulsar sobre aceptar

Configurar la VPN para utilizar certificados

Configuración del Gateway

  1. Pusar sobre el botón New
  2. También se pueden crear combinaciones de inicio de sesión, por ejemplo certificado y usuario y contraseña
  3. También se pueden ofrecer varias alternativas y que el cliente elija cuál utilizar
  4. Instalar política al GW

Generar certificados para usuarios locales

  1. Botón derecho New>User
  2. Cópia la clave generada y pulsa OK

Generar certificados para usuarios del AD

Desde la SmartConsole

  1. Copia la clave de registro para el nuevo certificado

Desde la ICA (Internal Certification Authority)

  1. Localizar el DN de al menos un usuario administrador del SMS (Security Management Server)
  2. Crear un certificado
  3. Descarga el archivo en formato p12
  4. Mostrar los detalles del certificado
  5. Copiar el DN completo, no se puede seleccionar así que a mano
  6. SSH al SMS y ejecutar:
    1. cpca_client set_mgmt_tool on -a CN=admin,OU=users,O=mgmt.r2sys

  7. Gestión de certificados en la ICA
    1. Para poder acceder a la ICA primero hay que instalar el certificado descargado en el repositorio de Window, hacer doble click y seguir los pasos por defecto del asistente
    2. Una vez instalado el certificado abrir la url https://<SMSIP>: 18265
    3. Abrir la opción “Create Certificates
    4. En el campo “Enter User Name” insertar el DN completo del usuario, en Windows es el campo Sujeto de los detalles del certificado
    5. Seleccionar la opción Advanced, la opción Generate, la fecha de expiración (no superior a diez años), la contraseña de exportación y el botón Go
    6. Con esto se descargará el certificado en formato .p12

Instalar el certificado en la máquina cliente

  1. Abrir el cliente VPN y conectar a la VPN, la conexión fallará pero descargará las formas aceptadas para hacer login, en este caso mediante Certificado

Instalar certificado mediante clave de registro de certificado

  1. Sigue los pasos, una vez Inscrito al certificado, ya puedes conectar a la VPN

Mediante archivo de certificado .p12

  1. Seleccionar el archivo p12 descargado y seguir los pasos del asistente de windows sin cambiar ninguna opción. Una vez importado el certificado ya puedes conectar a la VPN

Conectar a la VPN

Abdul Pallarès

Deja tu mensaje

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.