Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances Service Desk Wildhainweg 9 Postfach 6935 3001 Bern Service Desk 031 633 44 44 Telefax 031 633 59 99 www.kaio.fin.be.ch Admin PKI Cisco VPN-Client für Windows 7 Bearbeitungs-Datum: 20. Juli 2012 Version: 2.0 Registraturplan-Nr.: 111338 Dossier-Nr.: #113088 Dokument-Status: Klassifizierung: Ersteller: Verteiler: Freigegeben intern Garcia Javier Intranet
Inhaltsverzeichnis 1 Ausgangslage... 3 2 Starten von Safenet Authentication Client Tool und Zertifikat überprüfen... 3 2.1 Starten von Safenet Authentication Client Tool... 3 2.2 Zertifikat im Safnet Client Tools überprüfen... 4 3 Zertifikate im Cisco VPN-Client prüfen und hinterlegen... 6 3.1 Zertifikate prüfen... 6 3.2 Zertifikat im Cisco VPN-Client hinterlegen... 8 4 VPN Verbindung testen... 9 5 Kennwort ändern... 10 5.1 Kennwortänderung... 10 5.2 Kennwort mit einem PUK ändern... 11 6 Dokument-Protokoll... 13 FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 2 von 13
1 Ausgangslage Nach der Installation der verschiedenen Softwarepakete für VPN Admin PKI ist die Software vor dem Erstgebrauch für die BEWAN-Verbindung einzurichten. Es ist wichtig, die Konfigurationseinstellungen korrekt vorzunehmen, damit die spätere Verwendung des VPN-Clients zu keinen Problemen führt. In dieser Anleitung wird beschrieben, wie der Cisco VPN-Client zusammen mit der Middleware von Safenet Authentication Client konfiguriert wird. 2 Starten von Safenet Authentication Client Tool und Zertifikat überprüfen 2.1 Starten von Safenet Authentication Client Tool Nach der Installation des Safenet Authentication Clients erscheint in der Taskleiste folgendes Symbol: Die Applikation Safenet Authentication Client Tools kann auf zwei verschiedene Arten gestartet werden: - Der schnelle Start erfolgt über: Klick mit der rechten Maustaste auf das Symbol in der Taskleiste Auswahl Tools - Der klassische Start erfolgt über: Start alle Programme Safenet Authentication Client Safenet Authentication Client Tools FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 3 von 13
2.2 Zertifikat im Safnet Client Tools überprüfen Dieses Tool entspricht der Middleware sowie dem Treiber des USB-Tokens bzw. der Smart Card. Es regelt den Zugriff des Cisco VPN-Clients auf die Zertifikate, die sich auf dem USB-Token oder der Smart Card befinden. - Um zu prüfen, welche Zertifikate auf dem USB-Token bzw. der Smart Card hinterlegt sind, ist das Safenet Authentication Client Tool zu starten (siehe Punkt 2.1). - Es erscheint folgendes Hauptmenü: - Um die Zertifikate zu prüfen, auf den Button Einstellungen klicken. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 4 von 13
- Auf der linken Seite erscheint ein Navigationsbaum. Dieser ist bis zu den Anwenderzertifikate zu erweitern. - Nun ist das Zertifikat mit der digitalen Signatur zu ermitteln. Wird eines der hinterlegten Zertifikate angeklickt, erscheinen die Zertifikatsdaten und die privaten Schlüsseldaten. Die digitale Signatur ist unter den Privaten Schlüsseldaten Containername ersichtlich. Hinweis: In der Regel befindet sich das Zertifikat mit der digitalen Signatur an erster Stelle des Navigationsbaums. Wurde das Zertifikat mit der digitalen Signatur gefunden, gilt es, sich die Seriennummer zu merken (ersichtlich unter Zertifikatdaten ). FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 5 von 13
3 Zertifikate im Cisco VPN-Client prüfen und hinterlegen 3.1 Zertifikate prüfen - Um die Liste der im Cisco VPN-Client importierten Zertifikate zu prüfen, das Register Certificates auswählen. - Es werden alle Zertifikate aufgelistet, die im Cisco VPN-Client automatisch importiert wurden. In der Regel handelt es sich um vier Windows- und um drei persönliche Zertifikate. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 6 von 13
- Eines der persönlichen Zertifikate ist dasjenige mit der persönlichen Signatur und entspricht demjenigen aus dem Safenet Authentication Client Tool. Dieses persönliche Zertifikat gilt es nun zu ermitteln. Mittels Doppelklick auf die persönlichen Zertifikate werden die Detailangaben zum Zertifikat ersichtlich. Hier kann die Seriennummer mit derjenigen aus dem Safenet Authentication Client Tool verglichen werden (siehe Punkt 2.2). - Wurde das Zertifikat mit der gleichen Seriennummer gefunden, gilt es, sich in der Zertifikatsübersicht die Nummer auf der linken Seite des entsprechenden Zertifikats zu merken. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 7 von 13
3.2 Zertifikat im Cisco VPN-Client hinterlegen - Um das Zertifikat mit der digitalen Signatur im Cisco VPN-Client zu hinterlegen, im Register Connection Entries den Button Modify betätigen. - Es erscheint ein Fenster mit den Verbindungseinstellungen. Im Register Authentication die Option Certificate Authentication aktivieren. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 8 von 13
- Im Dropdown-Feld Name das Zertifikat mit der digitalen Signatur auswählen. Dazu die Nummer verwenden, die unter Punkt 3.1 (letzter Absatz) ermittelt wurde. Danach die Einstellungen mittels Button Save speichern. 4 VPN Verbindung testen - Sobald das Zertifikat im Cisco VPN-Client ausgewählt und gespeichert wurde, kann die VPN-Verbindung getestet werden. Dazu den USB-Token bzw. die Smart Card in das Gerät einführen (falls nicht bereits vorgängig erfolgt) und im Hauptfenster den Button Connect betätigen. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 9 von 13
- Nachdem die Verbindung aufgebaut wurde, erscheint ein Fenster, in welchem der USB-Token bzw. die Smart Card mit einem Kennwort authentifiziert werden muss. Sobald das Kennwort mittels OK bestätigt wird, wird die Authentifizierung überprüft und die Verbindung hergestellt. 5 Kennwort ändern Das Kennwort für die VPN-Verbindung kann jederzeit im Safenet Authentication Client Tools geändert werden. 5.1 Kennwortänderung - Im Hauptmenü des Safenet Authentication Client Tools (siehe Punkte 2.1 und 2.2) die Schaltfläche Kennwort des Tokens ändern betätigen. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 10 von 13
- Es erscheint ein Fenster, in welchem ein neues Kennwort definiert werden kann. Neben dem Feld: Kennwort bestätigen befindet sich ein Balken, welcher ermittelt, ob das neu eingegebene Passwort die vorgegebenen Kennwortkonventionen erfüllt. Ist dies der Fall, wird der Balken vollständig grün und die Kennwortänderung kann mit OK abgeschlossen werden. 5.2 Kennwort mit einem PUK ändern Wurde der USB-Token oder die Smart Card aufgrund mehrerer fehlerhafter Anmeldeversuche gesperrt, ist durch den Service Desk ein PUK freizuschalten. Nach der Freischaltung, kann der USB-Token bzw. die Smart Card mittels dem Safenet Authentication Client Tools entsperrt und ein neues Kennwort definiert werden. - Im Hauptmenü des Safenet Authentication Client Tools die Schaltfläche Token freigeben betätigen. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 11 von 13
- Es erscheint ein Fenster, in welchem der PUK (Freigabecodenummer) und das neue Kennwort eingeben werden kann. Die Eingaben vornehmen (Passwortkonventionen einhalten) und mittels OK bestätigen. FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 12 von 13
6 Dokument-Protokoll Änderungskontrolle Version Name Datum Bemerkungen 0.1 Garcia Javier 11.05.2012 Ursprungsversion 1.1 Karin Christen 13.07.2012 Überarbeitung 2.0 Karin Christen 20.07.2012 Überarbeitung und Ergänzung Prüfung Version Stelle Datum Visum Bemerkungen 1.0 Incidentmanager 11.05.2011 mf 2.0 Timo Schmid 20.07.2012 tsch Freigabe Version Stelle Datum Visum Bemerkungen 1.0 Incidentmanager 11.05.2011 mf 2.0 Ueli Müller 20.07.2012 USM FIN_KAIO-#113088-v1-_Admin_PKI_Cisco_VPN_für_Windows_7.DOCX Seite 13 von 13