Après avoir mis en place le scénario à clés prépartagées, vous pouvez aborder un scénario plus complexe avec des certificats. Nous n’expliquerons pas comment créer et gérer les certificats, mais nous couvrirons quelques étapes de haut niveau sur la manière de configurer le System i et Windows Vista au moyen de certificats.
L’exemple suivant suppose que vous avez déjà créé vos certificats à l’aide de Digital Certificate Manager (DCM) et que vous les avez exportés pour Windows Vista. Il suppose également que vous avez auparavant configuré votre VPN en utilisant l’authentification par clés prépartagées :
Sur System i : Pour créer une stratégie IKE avec des certificats avec un Distinguished name, procédez ainsi :
1. Dans iSeries Navigator, étendez System i|Network IP Policies|Virtual Private Networking|Internet Key Exchange Policies.
2. Faites un clic droit sur Internet Key Exchange Policies et sélectionnez New Internet Key Exchange Policy.
3. Dans l’onglet Remote Server, sélectionnez « Distinguished name for Identifier type ».
4. Dans l’onglet Associations, sélectionnez « Distinguished name for Identifier ».
5. Cochez le certificat système local et cliquez sur Browse.
6. Sélectionnez le certificat que vous avez précédemment créé de façon magique en utilisant DCM et sélectionnez « Distinguished name for Identifier type ». Cliquez sur OK.
7. Dans l’onglet Transform, sélectionnez la valeur par défaut (ci-dessous) et cliquez sur OK.
Authentication method : RSA signature
Hash algorithm : SHA
Encryption algorithm : 3DES-CBC
Diffie-Hellman group : Group 1 (default 768-bit MODP)
Sur Windows Vista : D’abord, utilisez Microsoft Management Console (MMC) pour importer le certificat sur Windows Vista. Dans le snap-in pour certificats
• assurez-vous que le certificat est importé dans le dossier Certificates of Personal
• assurez-vous que
Ensuite, configurez la connexion VPN pour utiliser l’authentification de certificats sur Windows Vista. Suivez ces étapes pour changer l’authentification des clés prépartagées aux certificats :
1. Cliquez sur Start puis sélectionnez Network.
2. Sélectionnez Network and Sharing Center.
3. Sélectionnez « Manage network connections » dans le panneau Tasks.
4. Faites un clic droit sur
5. Dans l’onglet Networking, cliquez sur IPsec Settings. Vous verrez que le bouton de « Use preshared key for authentication » est sélectionné.
6. Sélectionnez le bouton « Use certificate for authentication » puis cliquez sur OK pour quitter les propriétés.
Vous devriez maintenant pouvoir vous connecter au System i en utilisant les certificats de Windows Vista. On remarquera que l’exemple précédent pour System i a ajouté une nouvelle stratégie IKE pour les certificats avec DN. La stratégie IKE (Any IP Address) provenant de notre scénario à clé prépartagée configuré précédemment existe encore sur le système. Cela nous permet de supporter des clients en utilisant l’authentification par clé prépartagée et par certificat, en même temps, de sorte que vous pouvez faire migrer des utilisateurs vers l’authentification basée sur certificats, sans affecter les clients actifs actuels.
