Configurando certificado digital válido no firewall SonicWall

No artigo de hoje iremos explicar como importar um certificado válido e como utilizá-lo para acabar de uma vez com o chato erro de certificado digital não válido exibido no navegador em uma autenticação web no SonicWall.

Esse erro de certificado digital ocorre porque o certificado digital interno no firewall SonicWall não é validado por uma unidade certificadora válida.

Para efetuarmos a configuração necessitamos de um certificado válido, nesse artigo iremos usar um certificado emitido pela unidade certificadora SSL For Free. O certificado emitido é gratuito e válido por 3 meses, muito bom para você fazer testes, inclusive para servidores web da sua rede.

Então vamos lá por a mão na massa, acesse o endereço https://www.sslforfree.com/ , clique em Login e crie uma conta utilizando um endereço de e-mail com o mesmo domínio que você irá utilizar para o certificado digital, isso irá facilitar no gerenciamento dos certificados emitidos.

Tela portal SSL For Free.

Após a autenticação você será direcionado para a página onde será possível visualizar todos os certificados já emitidos, é aqui podemos verificar a validade do certificado e solicitar a renovação. No nosso caso iremos solicitar um novo certificado, para isso temos que voltar para a página home, clique no ícone direito superior do SSL For Free para voltar para o Home Page.

Tela gestão de certificados.

Voltando para o Home Page, no campo central “Secure | https://enter your website to secure” você irá colocar o nome do certificado que será utilizado no SonicWall. No nosso exemplo eu irei utilizar o nome sonicwall.yessecurity.net.br.

O importante aqui é usar um domínio do qual você tem autoridade, pois nos próximos passos o uso do DNS para esse domínio será exigido.

Após inserir o nome clique no botão “Create Free SSL Certificate”.

Tela definindo nome do certificado válido.

Na próxima etapa temos que provar para a unidade certificadora SSL For Free que temos autoridade no domínio que estamos solicitando o certificado. Existem três opções: “Automatic FTP Verification”, “Manual Verification” e “Manual Verification (DNS)”. Nós iremos utilizar a opção “Manual Verification (DNS)”.

Primeiro clique em “Manual Verification (DNS)” e seguida clique em “Manually Verify Domain”.

Tela verificação manual via DNS.

Quando você clicar em “Manually Verify Domain” será solicitado a criação de um registro do tipo TXT no DNS autorizado para o domínio em questão que o certificado será gerado com nome e valor indicado pelo SSL For Free.

Tela dados para cadastro entrada TXT no servidor DNS.

Acesse o seu DNS autorizado para criação do registro TXT, no meu exemplo eu irei criar o registro no DNS que utilizo no Registro.BR.

Tela DNS Registro.br.

Criado o registro TXT no seu servidor DNS aguarde alguns minutos para replicação do DNS, pode acontecer de demorar até 15 minutos.

Volte para a página do SSL For Free e clique na opção “Verify _acme challenge.NomeSeuCertificado”.

Tela validando registro DNS.

Quando você clicar no link de “Verify” será aberto uma nova página com as informações validadas, não se assuste com o Warning em vermelho, ele só está reclamando do TTL e isso não irá impactar em nada.

O importante é ter o resultado “TXT Record(s) Found”, que são as informações cadastrada no registro TXT criado.

Tela registro TXT validado.

Validado o registro TXT, volte para a página do SSL For Free e clique no botão “Download SSL Certificate”.

Tela geração de certificado digital.

A ferramenta SSL For Free irá gerar o conjunto de certificado, na próxima página que será exibida clique no botão “Download All SSL Certificate Files” e salve o arquivo no seu computador.

Tela download certificado digital.

Antes de importamos o certificado no SonicWall temos que gerar um certificado do tipo PFX, esse certificado terá toda a estrutura necessária para importar para o equipamento.

Iremos utilizar o serviço web SSL Shopper para converter o certificado, acesse a página https://www.sslshopper.com/ssl-converter.html.

No home para página SSL Shopper na opção “Type of Current Certificate” mantenha a opção “Standard PEM” e na opção “Type of Current Certificate” selecione a opção PFX/PKCS#12.

Tela SSL Shopper converter.

Vamos carregar a estrutura de certificado para geração do certificado do tipo PFX/PKCS#12.

  • Em “Certificate File to Convert” selecione o arquivo certificate.crt que você gerou no SSL For Free;
  • Na opção “Private Key File” selecione o arquivo private.key;
  • Na opção “Chain Certificate File (optional) selecione o arquivo ca_bundle.crt;
  • No campo “PFX Password” defina a senha que será utilizada na importação, não deixe essa senha em branco, quando você for importar o arquivo no SonicWall o SonicOS irá exigir que o certificado tenha senha.

Observação! Quando você selecionar certificate.crt em “Certificate File to Convert” a página irá perder a configuração, cliente novamente nas opções conforme print anterior.

Selecionado todos os arquivos clique no botão “Convert Certificate”, o dowload do arquivo certificate.pfx será realizado para o seu computador.

Tela carregando cadeia de certificado.

OK, agora que temos o certificado em mãos vamos acabar com aquela tela chata de erro de certificado!

Tela exemplo erro de certificado.

Primeiro iremos importar o certificado para o firewall, nesse artigo eu estou utilizando a firmware versão 6.5.4.4-44n, dependendo da versão que estiver utilizando há necessidade de reinicialização do SonicOS após a importação do certificado.

Clique em Manage/Appliance/Certificates, mude o “View Style” para “Imported certificates and request” e clique em “IMPORT”.

Tela importando certificado digital.

Em “Import Certificate”, mantenha a primeira opção “Import a local end-user certificate with key from a PKCS#12(.p12 or .pfx) encoded file” selecionado, defina um nome para o certificado em “Certificate Name”, insira a senha (cadastrado lá no SSLShopper) e selecione o arquivo certificate.pfx em “Please select a file to import:” e clique em “Import”.

Tela selecionado certificado a importar.

Você verá na tela de “Certificates and Certificate Requests” duas novas entradas, repare que o certificado importado sonicwall.yessecurity.net.br na coluna “Validated” está como “Yes”, o certificado foi importado com sucesso.

Tela certificado importado e validado.

Ainda em “Appliance”, vá na opção “Base Settings” no campo “Firewall’s Domain Name:” coloque o mesmo nome que foi utilizado para a geração do certificado, no nosso exemplo utilizamos sonicwall.yessecurity.net.br, em seguida clique em “ACCEPT”.

Tela alterando nome do firewall.

Ainda em Appliance/Base Settings vá nas opções “Web Management Settings”, na opção “Certificate Selection:” selecione o certificado que foi importado e clique em “ACCEPT”, quando você fizer isso há necessidade de autenticar no firewall novamente.

Tela alterado certificado utilizado no firewall.

Agora vamos clicar em MANAGE/User/Settings/Web Login, nas opções de “User Web Login Settings” selecione a opção “The name from the administration certificate” e clique em “ACCEPT”.

Tela alterando exibição de nome Web Portal.

A última etapa é criar o registro de DNS do tipo A no servidor DNS que irá resolver nome para a rede que será entregue a autenticação Web Login SonicWall. Nesse exemplo eu irei mostrar a configuração para a X0 (LAN), caso você for usar múltiplas redes como LAN e Visitante (WIFI Guest) você precisará de multiplos servidores DNS.

Nesse exemplo eu irei utilizar o DNS Proxy do próprio SonicWall, eu irei criar uma entrada estática para o endereço sonicwall.yessecurity.net.br para o IP da interface X0 192.168.168.168.

Tela criando registro estático DNS Proxy.
Tela registro DNS estático criado.

Se você disparar um teste de ping para o endereço utilizado no certificado verá a resolução de nome para o IP cadastrado.

Tela teste de ping nome do certificado.

Ao teste agora, faça um log off da sessão atual e acesse o firewall com o nome do certificado, no meu caso é https://sonicwall.yessecurity.net.br, se tudo foi feito corretamente não será exibido o erro de certificado.

Tela Web Login sem erro de certificado.

Quando clicamos no ícone cadeado é exibido que o certificado é válido, se clicar em “Certificado (válido)” no meu caso estou usando o Google Chrome, será exibido as propriedades do certificado que geramos e utilizamos nessa configuração.

Tela verificando dados certificado.
Tela propriedades certificado válido.

E é isso, acabamos de configurar um certificado válido para Web Login no firewall SonicWall, esperamos ter ajudado com esse artigo.

Ah, não esqueça de nos seguir em nossas medias sociais:

Muito Obrigado!

Equipe Yes Security

yessecurity.com.br

Configurando segundo fator de autenticação Google no SonicWall SSLVPN

No artigo de hoje iremos explicar como configurar o segundo fator de autenticação com o Google Authenticator no SSL-VPN  firewall UTM SonicWall.

Google Authenticator é um software gerador de token para verificação de autenticação em duas etapas: O que você sabe (usuário e senha) e o que você possuí (token).

Antes da firmware 6.5.3.1 era possível habilitar a dupla autenticação usando o código via e-mail, a partir dessa versão o firewall SonicWall também suporta Google Authenticator.

O legal dessa solução é que você irá melhorar a segurança na autenticação de usuários sem ter que fazer investimento extra na compra de software ou licenciamento no seu firewall.

Vale lembrar que no SonicWall modelo SOHO, SOHO 250 e TZ300 o equipamento contém uma licença SSL-VPN e a partir do TZ400 a SonicWall disponibiliza 2 licenças.

Caso necessite de licenciamento adicional existe a possibilidade de compra a partir de 1 unidade, nossa equipe comercial está de prontidão para atende-ló: [email protected]

OK, então vamos lá para a configuração:

Primeiro você terá que habilitar o TOTP (Token One-Time Password) no grupo SSLVPN Services, uma vez ativado esse recurso todos os usuários que utilizarem a conexão SSL-VPN obrigatoriamente terão que informar o token após a validação de usuário e senha.

Para isso clique em Manage/Users/Local Users & Groups/Guia Local Groups/Editar SSLVPN Services.

editando grupo SSLVPN Services
Tela editando grupo SSLVPN Services

Nas propriedades do grupo SSLVPN Services em Settings, na opção One-time password method: selecione a opção TOTP.

ativando fator dupla autenticacao (TOTP)
Tela ativando fator dupla autenticação (TOTP)

Instale o Google Authenticator no seu celular, nesse exemplo iremos utilizar o Android.

instalacao Google Authenticator sistema Android
Tela instalação Google Authenticator sistema Android

Agora iremos acessar o portal do SonicWall SSL-VPN para associar o Google Authenticator ao usuário utilizado no acesso a VPN.

portal SonicWall Virtual Office
Tela portal SonicWall Virtual Office

Assim que você fizer o logon no portal Virtual Office será exibida a tela para inserir o token gerado no App do Google Authenticator.

Tela inicial Google Authenticator
Tela inicial Google Authenticator

Acesse o seu celular, abra o Google Authenticator, clique em Iniciar e em seguida clique em Ler um código de barras.

Associar conta no Google Authenticator
Tela Associar conta no Google Authenticator

Faça a leitura do QR Code com o seu celular, após a leitura a tela de geração de token será exibida.

geracao de token no Google Authenticator
Tela geração de token no Google Authenticator

Insira o código na tela exibida após a autenticação de usuário e senha no Virtual Office, clique em OK e em seguida em Clique here to continue…

conta associada no Google Authenticator
Tela conta associada no Google Authenticator

Após associar o usuário ao aplicativo Google Authenticator na próxima autenticação no SSL-VPN NetExtender será solicitado o token após a validação do usuário e senha, veja nas telas abaixo:

autenticacao SonicWall Netextender
Tela autenticação SonicWall NetExtender
solicitacao token Google Authenticator
Tela solicitação token Google Authenticator
autenticacao concluida
Tela autenticação concluída
user status logon SSL-VPN
Tela User Status logon SSL-VPN

E é isso, você acabou de configurar o duplo fator de autenticação no seu equipamento SonicWall.

Esperamos ter ajudado com esse passo a passo!

Até a próxima

Equipe Yes Security

yessecurity.com.br