Hola amig@s 👏, soy Mila Jiménez y hoy os voy a ayudar con: 🔽 SSL VPN con autenticación de cliente mediante certificado y autenticación de segundo factor
Descripción
Este artículo describe cómo configurar SSL VPN con autenticación de cliente mediante certificado y autenticación de segundo factor.
Alcance
En este escenario, la configuración general de SSL VPN ya está configurada. Documento relacionado.
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/690301/configuración-del-túnel-ssl-vpn
Solución
1) Instale el certificado del servidor. El certificado del servidor se utiliza para la autenticación y para cifrar el tráfico SSL VPN.
– Ir Sistema -> Visibilidad de características y asegúrese de que ‘Certificados’ esté habilitado.
– Ir Sistema -> Certificados y seleccione ‘Importar’ -> Certificado local.
– Establezca Tipo en Certificado.
– Elija el archivo de certificado y el archivo de clave para el certificado e ingrese la contraseña.
– Si es necesario, cambie el ‘Nombre del certificado’.
El certificado del servidor ahora aparece en la lista de Certificados.
2) Instale el certificado CA.
El certificado CA es el certificado que firmó tanto el certificado del servidor como el certificado del usuario. En este ejemplo, se utiliza para autenticar a los usuarios de SSL VPN.
– Ir Sistema -> Certificados y seleccione ‘Importar‘ -> Certificado CA.
– Seleccione PC local y luego seleccione el archivo de certificado.
El certificado de CA ahora aparece en la lista de Certificados de CA externos. En este ejemplo, se llama CA_Cert_1.
3) Configurar usuarios de PKI y un grupo de usuarios.
– Para usar la autenticación de certificados, use la CLI para crear usuarios de PKI.
# config usuario par
editar "pki01"
establecer ca "CA_Cert_1"
establecer asunto "usuario"
establecer la habilitación de dos factores <-----
establecer contraseña contraseña
Siguiente
final
– Asegúrese de que el asunto coincida con el nombre del certificado de usuario. En este ejemplo, usuario.
– Cuando se crea un usuario de PKI, se agrega un nuevo menú a la GUI.
4) Ir a VPN -> SSL-VPN Configuración, configure ‘Certificado de servidor’ en ‘certificado de autenticación’.
Habilite Requerir certificado de cliente.
5) Asegúrese de lo siguiente:
– El nombre de usuario ya está agregado en el grupo llamado en la configuración de SSL VPN.
– El nombre de usuario se agrega en las políticas de seguridad.
6) Para usar el certificado de usuario, primero instálelo en la PC del usuario.
Cuando el usuario intenta autenticarse, el certificado de usuario se compara con el certificado de CA para verificar que coincida.
Cada usuario debe tener un certificado de usuario único.
Esto permite distinguir a cada usuario y revocar el certificado de un usuario específico, por ejemplo, si un usuario ya no tiene acceso a VPN.
Asegúrese de agregar el certificado de usuario en el almacén personal del usuario actual.
7) Mientras conecta Forticlient, habilite ‘Certificado de cliente’ y seleccione el certificado de usuario.
8) Para utilizar la autenticación de dos factores, seleccione la opción ‘Autenticación’ para ‘Preguntar al iniciar sesión/guardar inicio de sesión’.
Con autenticación de dos factores en FortiClient.
Nota.
El usuario tendrá el nombre de objeto del usuario de PKI, en este ejemplo es pki01.
☑️ Por último, felicitarte por haber llegado hasta el final de este artículo. Espero que haya servido para solucionar tus problemas y que nos vuelvas a visitar pronto.
Si no puedes llegar a la solución a tu pregunta usa la search bar o contacta con nosotros en la caja de comentarios.
¡Hasta luego!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!