Les Forums
Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer
[ Winodws Server 2003 ] L2TP/IPSec
| Bonsoir, Tout d'abord, je ne sais pas si c'est le bon forum pour ce sujet. Veuillez m'excuser d'avance si je me suis trompé... Je dois m'occuper de mettre en place un serveur VPN L2TP/IPSec sous Windows Server 2003. En utilisant une clé pré-partagée, je n'ai aucun souci. Par contre, avec les certificats, ça se gâte... Un client peut obtenir un certificat de deux manières : soit il fait partie du domaine Windows et reçoit un certificat automatiquement par le biais d'une stratégie. Soit il se le procure lui-même à l'aide d'un navigateur Web en se rendant sur l'autorité de certification du domaine. Je dois implanter cette dernière façon de faire. Mon client arrive bien à se connecter sur le serveur Web, à demander et à installer le certificat. Par contre, lors de l'établissement de la connexion VPN, Windows indique qu'il n'a pas trouvé de certificat valide. Est-ce que quelqu'un aurait une idée sur la démarche à suivre pour résoudre ce problème ? Merci d'avance pour votre réponse. Salutations et bonne soirée. |
| Il je serai d'avis de vérifier si le certificat est dans le bon magasin. Ouvre une MMC, ajoute y le composant logiciel enfichable des magasins des certificats de l'ordinateur et de l'utilisateur. Et vérifie que le certificat est bien installé dans le bon magasin. |
| Bonjour, Merci pour la réponse. Le certfificat se trouve dans le magasin personnel : est-ce le bon magasin ? Je penchais aussi la dessus. L'installation se fait automatiquement dans le magasin personnel. Le compte utilisé est administrateur. Dans les propriétés du certificat, il est écrit qu'il est prévu pour les rôles suivants : - permet aux données sur le disque d'être cryptées - protège le courrier électronique - garantit votre identité auprès d'un ordinateur distant Il me semble qu'il manque des rôles ... Merci d'avance pour les réponses ! Salutations et bonne journée. |
| Il ne doit pas s'agir du bon certificat. Ce doit être un certificat qui s'appelle Machine (ou Ordinateur) basé sur le template Computer. (Il faut que dans AD, l'utilisateur qui fait la demande, pour voir le certificat dans la liste ai le droit Read et Enroll) Ensuite, n'utilise pas l'assitant d'importation automatique. Il ne le met jamais au bon endroit ;). Grace a une MMC et le composant Magasin de certificat de l'Ordinateur Local (pas Utilisateur) insere le dans le magasin Personnel. Ce devrait être bon tiens nous au courant ! |
| Hello ! Merci pour la réponse. Je crois que je ne suis pas sûr d'avoir tout compris... Concernant le type de certificat, le seul qui est proposé est "Certificat utilisateur" depuis l'interface Web. Pas de trace de certificat Machine ou Ordinateur... Le seul modèle de certificat qui soit proposé est "EFS Basique" et "Utilisateur" en faisant une demande de certificat avancé. Ensuite, concernant l'AD, j'ai pas tous compris ce qu'il faut faire. Dois-je sélectionner les propriétés de l'utilisateur et me diriger sur un onglet particulier ? Qu'entends-tu par "Assistant d'importation automatique" ? L'interface Web qui installe le certificat ? Si oui, l'installation se fait à l'aide d'un fichu ActiveX donc seul moyen de l'installer. Merci d'avance pour les réponses ! Bon apétit 😉 |
| 😛 Voyons en images et dis moi où cela merdoit. Héhé qui dit OS Fenetre 2003 dit captures d'écrans 😉 Lance le gestionnaire d'autoritée de certification (d'entreprise). Il faut vérifier si le modèle de certificat d'ordinateur est présent dans le volet de droite du noeud (désolé, les shot sont en version US). [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_0.JPG Si il n'y est pas, ajoute le en faisant en clic droit sur . [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_1.JPG Choisi le modèle . [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_2.JPG Le modèle doit être présent dans le volet de droite. Ouvre maintenant une mmc vierge sur l'ordinateur qui doit avoir un certificat. Et ajoute le composant logiciel enfichable . [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_3.JPG Navigue jusqu'à . [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_4.JPG Un assistant se lance, choisir dans la lsite des certificats disponibles. [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_5.JPG Si tout se passe bien, dans la mmc de gestion de ton autorité de certification (et selon le module stratégique adopté), le certificat est émis ou en attente. [img:35cd0eea7c]http://www.manc.fr/SAVMANC/images/CERT_6.JPG Il ne te reste plus qu'à configurer ton gestionnaire de la stratégie IPSec. |
| X Post sur le ng Microsoft Exchange ? ... Hum tu me parais en panique là 😉 |
| Yep ! Merci beaucoup pour toutes ces captures : j'en demdandais pas tant ! Le problème se situe lors de la demande d'un nouveau certificat. Le message d'erreur est le suivant : [URL=http://img138.imageshack.us/my.php?image=erreurfz6.png][img:8a154a3087]http://img138.imageshack.us/img138/5688/erreurfz6.th.png Euh ouais c'est vraiment la panique ! Ces NG sont tellement bien conçus (interface Web) que sous Firefox on ne voit pas dans quel forum on post ! |
| Y a une question fondamentale que je me pose et qui est venue après discussion : où doit se trouver l'autorité de certification ? Sur le contrôleur de domaine ? Sur la passerelle VPN ? Sur un serveur tiers ?? |
| Peut importe. Il faut juste que les certificats aient été émis par la même CA. Il faut que le client VPN ait d'installé dans son magasin de certificat d'ordinateur dans la partie Autorité racine de confiance le certificat de ta CA (sauf si le compte d'ordi est membre d'AD auquel cas il le recoit automatiquement). Il faut que la liste de révocation de ta CA soit également consultable depuis le futur client VPN. Quand tu te connecte en HTTPS a un site dont le certificat a été émi par une CA inconnue. Tu as un pop-up qui te dit, attention cette CA est inconnue. Le pilote IPSec lui se contente de ne pas se connecter. |
| Hello, Merci pour la réponse. J'ai toujours le problème de mon avant-dernier post : je ne peux pas demander de nouveau certificat pour le magasin personnel 🙄 Sinon, pour "Autorités de certification racine de confiance", j'ai deux dossiers : dans lequel est-ce que ça doit figurer ? Le premier ? Le deuxième ? Les deux ?? Quels sont les différences entre les deux ? Quand tu dis que la liste de révocation de ma CA doit être consultable depuis le client VPN, dois-je prendre des dispositions particulières pour qu'elle soit consultable ? J'ai posé des ACL sur l'interface que les clients utilisent pour se connecter : je laisse passer uniquement les protocoles pour L2TP et le Web, rien d'autre. Je verrai tout ça demain matin. Si j'arrive à mettre ça en place, ce serait de la "valeur ajoutée" m'ont indiqué mes maîtres responsables et du coup une meilleure note 😀 Mais j'aurais aussi la satisfaction d'y être arrivé après tant de cauchemars ! Merci encore une fois de t'intéresser à mon problème. Je te suis très reconnaissant 🙂 Bon dimanche ! |
| Euh encore un truc maintenant que j'y pense : quelle stratégie IPSec mettre en place ? Enfin j'en ai déployé une : est-elle correcte ? Est-ce qu'elle bloquerait la reconnaissance du certificat ?? De tête, je ne me souviens plus de ce que j'ai mis... Mais je crois que je ne me suis pas foulé : j'ai créé une stratégie très très basique 😳 |
| Hello, Voilà je suis arrivé à quelque chose mais ça me paraît bizarre... J'ai tout repris depuis le début en ce qui concerne mon client VPN. J'ai créé une connexion en spécifiant que je voulais le protocole L2TP/IPSec. Depuis l'interface Web, j'ai installé un certificat ainsi que "la chaîne de certificat de mon autorité de certification". Depuis le composant "Certificats", dans le compte de l'utilisateur, j'ai exporté mes 2 certificats et les ai réimporté dans le compte local de l'ordinateur. Ensuite, depuis ma connexion L2TP, sous l'onglet "Sécurité", j'ai coché la case "Acancées" et ai cliqué sur "Paramètres..". Ensuite, j'ai choisi "utiliser le protocole EAP" et j'ai spécifié qu'il faut utiliser un certificat. Depuis l'onglet "Sécurité", sous "Paramètres IPSec...", je n'ai pas spécifié de clé pré-partagée. Voilà pour la configuration. Je me pose les questions suivantes : - Quelle est la clé de cryptage utilisée ? Celle du certificat ? L'authentification se fait-elle grâce au certificat ? Parce que je me rends compte qu'il n'y a pas de demande de saisi d'un compte/mot de passe. - Que vaut le protocole EAP ?? Merci d'avance pour vos réponses. |