VPN tussen ZyWALL en SSH-sentinel met gebruik van certificaten


referentie Z097C


Dit document omschrijft de procedure om een VPN tussen een Zywall en de SSH-sentinel client te configureren met gebruik van Certificaten.
Het doel hiervan is extra veiligheid omdat er eenmalig een certificaat ("key") uitgewisseld moet zijn voordat er een VPN tot stand gebracht kan worden. Dit is overigens het enige onderscheid, de rest van de configuratie blijft gelijk.

SSH client configuratie

Op zowel de SSH-client als de Zywall dient een key gegenereerd te worden.
Op de client gaat dit in "key management" waar er een "host key" in de map "my keys" toegevoegd (add) dient te worden.



Vervolgens kan men deze key exporteren door de betreffende key te selecteren en voor de optie "view" te kiezen.
In het "view" venster heb je de optie "export" klik deze aan en volg de instructies.



Nu is de key van de client klaar en dient deze geïmporteerd te worden in de Zywall.

Instellingen in de ZyWALL

Maak verbinding via de Web Configurator.
Ga via de web configurator naar de "certificates"



Kies hier voor het tabblad "trusted remote hosts". Klik hier op "import"



Klik op "browse" (1), zoek de juiste key (*.cer)(2) klik op "apply". (3)

Nu moet de key van de Zywall nog bekend gemaakt worden aan de client. De Zywall heeft standaard al een key (auto_generated_self_signed_cert). In de web configurator gaan we weer naar "certificates" en dan naar het tabblad "My Certificates".



Hier ziet u bovenstaande key staan. Klik op "details".



vervolgens op "export".

Zoek een locatie op de harde disk waar u de sleutel op wenst te slaan en en zet achter de filenaam .pem (file word dus auto_generated_self_signed_cert.pem
Nu staat het certificaat van de Zywall op schijf en kan deze weer geïmporteerd worden in de client.

Importeren in SSH

Open de "policy editor" van de client en ga naar het tabblad "key management".



Hier vindt u in de map "trusted certificates"de map "remote hosts". Open deze map en dubbelklik op "add".
"browse" naar de geëxporteerde file uit de Zywall (auto_generated_self_signed_cert.pem) en selecteer deze.



Klik vervolgens op "Yes" en het certificaat is geïmporteerd in de client.
Nu zijn de certificaten van aan beide zijden van de VPN bekend en kan het normale configuratie werk van een VPN beginnen.

Configureren van de VPN tunnel

Aan beide zijden van de tunnel dient alles nu geconfigureerd te worden als “normaal” (Phase 1 en 2 settings aan beide zijden van de tunnel identiek).
Echter kiezen we nu in plaats van "Pre-Shared Key"op de Zywall voor "Certificate". De "Local ID Type" en "Content" worden al automatisch ingevuld als je voor "Certificates" kiest (als je meerdere certificaten op je Zywall hebt vergeet dan niet de goede te selecteren).



Bij de daaronder volgende opties "Peer ID Type" en "Content" moeten de waarden ingevuld worden waarvoor gekozen is op de client toen de "host key" gegenereerd werd. (dus "Host ip address" of "host domain name" of "Administrator email" en de daarbij behorende waarden (ip adres of hostnaam of emailadres). Alle andere zaken worden gewoon geconfigureerd als bij een VPN zonder Certificaten.

Gebruik van de Greenbow VPN client en certificaten



Een VPN met gebruik van certificaten opzetten met een Greenbow-client werkt nagenoeg hetzelfde.
De Greenbow VPN client is echter niet in staat om een key voor zichzelf te genereren.
Uit de handleiding:

“……TheGreenBow VPN Client uses X509 certificates with PEM format. This kind of certificates are created with OpenSSL, not with TheGreenBow VPN Client……”

Dit betekent dus dat er al een key moet zijn voordat deze client gebruikt kan worden.
De leverancier van The Greenbow VPN Client is gevraagd of deze mogelijkheid in de nabije toekomst toegevoegd gaat worden.

Relevante links:

Gebruik van de Greenbow VPN CliËnt
Gebruik van SSH Sentinel
Gebruik van de Web Configurator