Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 1 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Departamento: Telecomunicaciones, Calidad y Desarrollo del Negocio Área: Tecnología e Ingeniería Tipo de documento: Manual de Usuario Código: SDS-MU-043 Edición: 1.8 Fecha: 22/08/2019 Categoría: Uso Interno Nº de Páginas: 1 de 58 Elaborado Revisado Revisado Aprobado David Ordóñez Fernández Técnico en el Centro de Servicios de Ingeniería MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 2 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red HOJA DE CONTROL DE EDICIONES Nº Edición Fecha Editor Naturaleza de la edición 0 30/08/2011 Jaime Vargas Edición inicial 1 30/03/2012 Jaime Vargas Revisión 1.1 08/08/2012 M.A. Jadraque Revisión 1.2 06/09/2012 Raúl Gámez Se añade manual instalación cliente VPN para Android 4 y se suprime tabla de compatibilidad. 1.3 05/06/2015 David Ordóñez Fernández Edición inicial 1.4 01/12/2015 David Ordóñez Fernández Revisión 1.5 20/04/2016 David Ordóñez Fernández Revisión 1.6 22/03/2017 David Ordóñez Fernández Revisión 1.7 24/04/2017 David Ordóñez Fernández Revisión 1.8 22/08/2019 David Ordóñez Fernández Revisión Detalles de los cambios de la última edición: - Se actualiza la versión de FortiClient utilizada para Windows - Se actualiza la configuración en Windows para la nueva versión de FortiClient MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 3 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 0 INDICE 0 INDICE .................................................................................................................................... 3 1 OBJETO .................................................................................................................................. 5 2 ALCANCE .............................................................................................................................. 5 3 DOCUMENTACIÓN DE REFERENCIA ........................................................................... 5 4 DEFINICIONES ..................................................................................................................... 6 5 DESCRIPCIÓN DEL SERVICIO ........................................................................................ 6 6 CONFIGURACIÓN CLIENTE WINDOWS ...................................................................... 7 6.1 Importar Certificados al almacén criptográfico de Windows .......................... 7 6.2 Importar Certificados al almacén criptográfico de Firefox .............................. 9 6.3 Configuración previa a la conexión ................................................................... 12 6.4 Descarga del instalador ....................................................................................... 13 6.4.1 Descarga desde una fuente alternativa .................................................................. 19 6.5 Conexión a la VPN a través del portal .............................................................. 19 6.6 Conexión mediante cliente pesado ..................................................................... 21 6.6.1 Configuración Certificado DNIe para conexión mediante cliente pesado ............ 23 7 CONFIGURACIÓN CLIENTE LINUX ............................................................................ 26 8 CONFIGURACIÓN MAC OS X ........................................................................................ 31 9 CONFIGURACIÓN ANDROID ......................................................................................... 37 10 CONFIGURACIÓN IOS .................................................................................... 43 10.1 Instalación certificado digital FNMT en Iphone .............................................. 43 10.2 Configuración cliente VPN IOS ......................................................................... 46 11 LISTA DE DISTRIBUCIÓN.............................................................................. 50 12 ANEXOS .............................................................................................................. 51 ANEXO I: OBTENCIÓN Y DESCARGA DE CERTIFICADOS.......................................... 51 AI.1 Manual Solicitud Certificado ......................................................................................... 52 ANEXO II: INSTALACIÓN DE SOFTWARE COMPLEMENTARIO EN ANDROID .... 54 AII.1 Gestor de ficheros .......................................................................................................... 54 ANEXO III: TRANSFERENCIA DEL CERTIFICADO AL TERMINAL MÓVIL. .......... 57 ANEXO IV: OBTENCIÓN Y UTILIZACIÓN DEL DNIE. ................................................... 58 MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 4 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 5 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 1 OBJETO El objetivo del presente documento es proporcionar una guía de instalación sencilla para el servicio de VPN TLS de NIX, se dejará de emplear el protocolo SSL, que proporcionará acceso seguro a los recursos de la RCJA, de modo que sus usuarios -así como los servicios de informática que les dan soporte- conozcan la configuración que deben implementar sobre sus equipos. 2 ALCANCE La solución es aplicable tanto a Microsoft Windows ®, a Mac OS X ® como a plataformas basadas en Linux, por lo que se describen en apartados independientes. Este documento afecta a las siguientes áreas organizativas de SADESI. Unidad de NIX y Video. Área de Tecnología e Ingeniería.- Responsable del desarrollo de la configuración, de la elaboración y actualización del presente manual de usuario. Área de Desarrollo de Servicios.- Encargada de la distribución del presente manual a la RCJA. Área de Asistencia Usuario y Gestión de Telecomunicaciones. Responsable de la resolución de consultas o incidencias que pudieran surgir al aplicar la metodología de configuración descrita en el presente manual, por parte de los organismosque integran la RCJA 3 DOCUMENTACIÓN DE REFERENCIA Este documento está elaborado siguiendo las directrices expuestas en los siguientes documentos: SDS-MG-001 Manual del Sistema de Gestión de SADESI SDS-PG-001 Procedimiento General de elaboración y control de la documentación del Sistema Norma UNE ISO/IEC 20000-1. Tecnología de la Información. Gestión del servicio. Parte 1: Especificaciones. Norma UNE-ISO/IEC 20000-2. Tecnología de la Información. Gestión del servicio. Parte 2: Código de buenas prácticas. Norma UNE-EN ISO 9001:2008. Sistemas de gestión de la calidad. Requisitos. Norma UNE-EN ISO 9000:2005. Sistemas de gestión de la calidad. Fundamentos y vocabulario. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 6 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red UNE-ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management UNE-ISO/IEC 27001:2005 Information technology – Security techniques – Information Security Management Systems – Requirements 4 DEFINICIONES RCJA: Red Corporativa de Telecomunicaciones de la Junta de Andalucía SADESI: Sociedad Andaluza para el Desarrollo de la Sociedad de la Información S.A.U. TLS: Protocolo criptográfico que asegura las comunicaciones a nivel de la capa de aplicación, utilizando los protocolos de transporte y red existentes (p. ej. TCP/IP) LDAP: Protocolo de acceso unificado a un conjunto de información sobre una red VPN: Red Privada Virtual, tecnología de red que permite extender la red local sobre una red pública. 5 DESCRIPCIÓN DEL SERVICIO Para el acceso al servicio de VPN TLS de NIX se requiere la instalación de un software del fabricante Fortinet, que en el caso de sistemas Windows, Linux y Mac actúa como cliente “pesado”, y en el caso de los sistemas Windows puede actuar además como complemento de Internet Explorer y Mozilla Firefox para el acceso al servicio desde estos navegadores web. La solución se basa en TLS, concediéndose el acceso al servicio mediante autenticación por medio del acceso LDAP del usuario, y estableciéndose el túnel mediante certificado de la FNMT expedido al usuario. En caso de que no dispongamos de él se puede consultar el proceso de solicitud y descarga en el Anexo I. También allí se detalla cómo exportar el certificado a un fichero PKCS#12 si únicamente lo tenemos en el navegador. Se han creado pooles de direcciones exclusivas para el nuevo servicio, por lo que puede ser necesario configurar reglas de cortafuegos en las sedes corporativas y/o ACLs en servicios concretos para poder acceder a ellos. Debido a que TLS es un protocolo que opera a nivel de aplicación, toda la criptografía se efectúa a dicho nivel por lo que a diferencia de otras soluciones no es necesaria ninguna modificación en la pila TCP/IP del dispositivo cliente, por lo que se eliminan muchos de los impedimentos que tradicionalmente se han encontrado en el uso de VPNs en movilidad al no tener la capa criptográfica que ser consciente de elementos tales como NAT o cortafuegos. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 7 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 6 CONFIGURACIÓN CLIENTE WINDOWS Desde sistemas Windows disponemos de dos vías alternativas para realizar la configuración del cliente de VPN TLS, tal como se explica en los siguientes apartados. En ellos también se explican los dos métodos que existen para acceder al servicio desde equipos dotados con este sistema operativo. Estos se describen sobre Windows 7, pero son compatibles tanto para versiones anteriores como versiones posteriores de Windows. 6.1 Importar Certificados al almacén criptográfico de Windows Si en su momento instalamos el certificado desde Internet Explorer, este paso no es necesario ya que el proceso ya lo deposita en el almacén correspondiente. Será necesario, por ejemplo, en los casos siguientes: Si hemos usado Firefox para descargar el certificado pero queremos acceder a la TLS mediante Explorer, Chrome o el cliente pesado. Si se solicitó el certificado desde un ordenador y se va a configurar la VPN en un ordenador diferente. Para realizar la importación abrimos el fichero .pfx o .p12 exportado desde el navegador. Se abre el asistente de importación de certificados: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 8 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Pulsamos “Siguiente” en la pantalla de selección del fichero (ya que viene ya preseleccionado al haber hecho doble clic en él) hasta que lleguemos a la pantalla en la que nos pide la contraseña de importación: En el cuadro reservado para la contraseña se debe introducir la que se usó para exportar el certificado. Si la clave introducida es correcta, se presenta un diálogo en el que se solicita el almacén en el que se desea instalar el certificado, y se acepta pinchando en el botón Siguiente la opción marcada por defecto (selección automática de almacén), de forma que se llega a la siguiente ventana: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 9 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Finalmente, si la operación concluye sin errores, el asistente muestra un mensaje de confirmación: 6.2 Importar Certificados al almacén criptográfico de Firefox Este proceso es únicamente necesario si vamos a utilizar Firefox bajo Windows para acceder a la plataforma (bien para la descarga del cliente o para la conexión) y el certificado lo obtuvimos y exportamos mediante Internet Explorer o Google Chrome. En primer lugar es necesario ir al diálogo de Preferencias / Opciones de Firefox (su nombre y ubicación en el menú depende de la versión de Firefox). Dentro de la sección “Avanzado”, pestaña “Certificados”, pulsamos en “Ver certificados”. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 10 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red En la sección “Sus certificados” pulsamos “Importar” y buscamos la carpeta donde nos descargamos el fichero del certificado que nos bajamos anteriormente: MANUAL DE USUARIO PARAEL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 11 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Nos pedirá la contraseña de descifrado, que será la misma con la que realizamos la exportación. Si es correcta se importará correctamente el certificado al almacén de Firefox: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 12 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 6.3 Configuración previa a la conexión Antes de establecer la conexión hay que asegurarse de que se ha realizado el cambio en el protocolo con el que el sistema operativo negociará la conexión, en este caso cambiar de SSL a TLS. Por norma general en Windows este cambio se hace a través de Internet Explorer y afecta a todo el sistema operativo y el software que sobre él se ejecute que necesite de este protocolo para conectarse. Dentro del navegador accedemos a Herramientas Opciones de Internet Opciones Avanzadas: Debemos desactivar las opciones “Usar SSL 2.0” y “Usar SSL 3.0”, dejar “Usar TLS 1.0” y activar las opciones “Usar TLS 1.1” y “Usar TLS 1.2”: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 13 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red En cuanto a los navegadores Firefox y Chrome, a partir de la versión 34 de Firefox y la versión 39 de Google Chrome, el protocolo SSL viene desactivado por defecto. 6.4 Descarga del instalador Se recomienda verificar cada 6 meses que el software instalado se corresponde con la última versión disponible, puede comprobarse esto accediendo a la URL https://vpn.juntadeandalucia.es (https://vpnwifi.juntadeandalucia.es si se emplea la red WiFi de invitados de RCJA). Para los sistemas Windows el modo más sencillo de instalar el software requerido es accediendo a la propia plataforma de VPN TLS, a través de la URL https://vpn.juntadeandalucia.es (https://vpnwifi.juntadeandalucia.es conectado a la WiFi invitados RCJA), y seguir las indicaciones que se muestran en el portal web. Para ello se debe disponer de las credenciales necesarias para acceder al mismo (usuario y contraseña del LDAP corporativo de RCJA). https://vpn.juntadeandalucia.es/ https://vpnwifi.juntadeandalucia.es/ https://vpn.juntadeandalucia.es/ https://vpnwifi.juntadeandalucia.es/ MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 14 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Se muestra el proceso utilizando el navegador Internet Explorer, comentándose cuando sea aplicable las diferencias observadas al utilizar Mozilla Firefox o Google Chrome. NOTA IMPORTANTE: En Windows XP/Vista/7/8 es necesario desactivar las opciones de SSL en Internet Explorer (versiones 8, 9, 10 y 11). Para realizar el login se accede desde el navegador a la URL indicada anteriormente, y lo primero que solicita la plataforma es el certificado del cliente (que debe estar instalado en el almacén personal del usuario con el que se ha iniciado la sesión en el equipo): MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 15 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Si utilizamos Firefox o Chrome también nos solicitará el certificado con unas ventanas similares: A continuación se requiere introducir el usuario y contraseña del LDAP corporativo (el mismo del correo corporativo, sin el @juntadeandalucia.es): MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 16 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Tras el login, únicamente si utilizamos Internet Explorer, la primera vez que se accede al portal se muestra un aviso de seguridad, ya que la plataforma requiere la instalación de un control ActiveX: Se debe autorizar la instalación de este control, pinchando en la barra de color amarillo de la parte superior del navegador y seleccionando la opción de “Instalar el control ActiveX”, que llevará a este otro mensaje de autorización: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 17 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Una vez en el portal, se muestra un aviso bajo el título de “Tunnel Mode”: “El complemento de cliente Fortinet SSL VPN no está instalado en su ordenador o no está actualizado. (También es posible que la configuración de su navegador esté bloqueando dicho cliente). Este complemento es necesario para ejecutar la función de cliente VPN SSL. Necesita permisos de administrador la primera vez que se instala el cliente. Una vez instalado, el cliente trabaja con los permisos normales de usuario y puede ser actualizado a una nueva versión sin privilegios de administrador. Click aquí para descargar e instalar el cliente. Después de la instalación, por favor reinicie el navegador para que el complemento sea cargado.” Pinchando en el enlace, se descarga de la plataforma el cliente, llamado “SslvpnCliente.exe”. En función de nuestra versión del navegador, o de la política de seguridad aplicada, se podrá seleccionar directamente ejecutar el instalador o habrá que guardarlo en disco primero antes de poder ejecutarlo. En cualquiera de los dos casos, el programa descargado solicitará que se cierre el navegador para poder realizar la instalación: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 18 de 58 Tipo de documento: Manual de Usuario Categoría:Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Una vez iniciado en modo administrador, el programa descargado solicitará que se cierren todos los navegadores para poder realizar la instalación: Pulsamos en “Install” y el ejecutable instalará en nuestro ordenador el programa de conexión así como el cliente pesado y los plugins para los navegadores: Pulsamos en “Close” y ya tendremos el servicio instalado. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 19 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 6.4.1 Descarga desde una fuente alternativa Aunque se recomienda emplear el primer método para la descarga del software necesario para acceder al servicio de VPN, dado que se requiere un login previo en la plataforma puede ser útil en determinadas circunstancias (el plataformado de un equipo por parte del servicio de informática, por ejemplo) el acceso al software sin necesidad de disponer de credenciales para acceder al servicio. Para ello se dispone de las siguientes URL de acceso a la descarga: http://vpn.juntadeandalucia.es http://vpnwifi.juntadeandalucia.es (a través de la red WiFi de invitados de RCJA) En esta URL estarán siempre las últimas versiones de los clientes para los tres sistemas operativos soportados: SslvpnClient.exe para Windows (32 y 64 bits). forticlientsslvpn_linux_<versión>.tar.gz para Linux. forticlientsslvpn_macosx_<versión>.dmg para Mac. En nuestro caso descargaremos el SslvpnClient.exe, correspondiente a nuestra versión de Windows, y lo ejecutaremos como en el apartado anterior. 6.5 Conexión a la VPN a través del portal Tras la instalación del cliente, podemos conectar la VPN desde la propia plataforma sin necesidad de configurar ninguna conexión simplemente accediendo con nuestro navegador a la dirección https://vpn.juntadeandalucia.es (https://vpnwifi.juntadeandalucia.es si se accede desde la red WiFi de invitados de RCJA), este método de conexión no es compatible con Windows 10. Deberemos presentar el certificado correcto cuando se nos pida, ya sea de la FNMT o DNI electrónico, y como antes, iniciar sesión con nuestro nombre de usuario del LDAP corporativo. http://vpn.juntadeandalucia.es/ http://vpnwifi.juntadeandalucia.es/ https://vpn.juntadeandalucia.es/ https://vpnwifi.juntadeandalucia.es/ MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 20 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Veremos que ahora cuando accedamos al portal, en la parte derecha donde antes nos daba la opción de descargar el cliente, ahora aparecen los controles para conectar y desconectar la VPN (botones “Connect” y “Disconnect”). Advertencia: La conexión VPN se controla desde dentro de esta sesión y está supeditada a ella, por lo cual esta ventana del navegador debe estar abierta y el túnel conectado para poder usar la VPN, incluso aunque el recurso corporativo al que queremos acceder no utilice el navegador (y para acceder a recursos mediante el navegador, se debe utilizar una ventana o pestaña diferente). NOTA IMPORTANTE: se debe finalizar la sesión pinchado sobre el icono de “salida” (indicado con una flecha roja en la figura) para que este cierre pueda ser interpretado de forma correcta por la plataforma de VPN SSL. En caso de cerrar el navegador sin realizar esta acción, el acceso al servicio podría ser bloqueado por un periodo de 10 minutos. Al pulsar sobre el icono indicado, la sesión se cierra, y se vuelve a presentar la ventana de login, momento en el que se puede cerrar el navegador normalmente. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 21 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 6.6 Conexión mediante cliente pesado También es posible emplear un cliente pesado para establecer comunicaciones seguras con la RCJA (aunque en el nombre de la aplicación aparece SSL, este hará uso del protocolo TLS), si nuestro sistema operativo es Windows 10 sería la única manera de utilizar la VPN. Para ello, una vez instalado el software siguiendo los métodos anteriormente expuestos, se puede acceder a él a través de: Inicio Programas FortiClient FortiClient VPN (siendo el path por defecto de su instalación "C:\Archivos de programa\Fortinet\SslvpnClient\FortiSSLVPNclient.exe”). Cuando se inicia el cliente por primera vez se presenta una ventana como la siguiente: Se puede definir un perfil de conexión pinchando en Configurar VPN, desde donde se llega a: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 22 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Aquí definimos los parámetros de nuestra conexión, como en el ejemplo que se muestra: (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 23 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Es importante no olvidar personalizar el puerto de destino con el 443. El desplegable “Certificado de Cliente” permite elegir entre los certificados instalados en el almacén personal del usuario con el que se ha iniciado la sesión de Windows. (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es:443. Guardando esta configuración, el túnel ya puede ser iniciado y liberado desde el cliente simplemente pulsando sobre los botones Connect y Disconnect. 6.6.1 Configuración Certificado DNIe para conexión mediante cliente pesado Este paso solo es necesario si se quiere acceder a la plataforma VPN a través de cliente pesado y empleando el certificado del DNI electrónico. En el caso de que al utilizar el cliente pesado nos aparezca en “Cliente Certificate” duplicado el certificado proporcionado por el DNIe y nos aparezca un aviso de Warning al intentar conectarnos tendremos que eliminar del almacén de certificados la firma del DNIe. (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es:443 (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 24 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Para ello a través de Internet Explorer accedemos a Herramientas Opciones de Internet Contenido Certificados y quitamos el certificado de firma correspondiente al DNIe. Eliminamos la Firma MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 25 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Tras esto en el “Client Certificate” del cliente pesado solo nos debe aparecer un certificado correspondiente al DNIe y ya podríamos establecer el acceso VPN mediante este certificado de igual manera a como se ha explicado para el certificado de la FNMT. (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es:443 (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 26 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 7 CONFIGURACIÓN CLIENTE LINUX Se recomienda verificar cada 6 meses que el software instalado se corresponde con la última versión disponible, puede comprobarse esto accediendo a la URL de descarga alternativa http://vpn.juntadeandalucia.es. Desde sistemas operativos Linux no existe la opción de iniciar las comunicaciones seguras con la RCJA a través del portal web, de modo que se requiere la instalación de un cliente pesado para establecer el túnel VPN TLS. En este momento el cliente consiste únicamente en un ejecutable, no incluyendo un paquete que integre el mismo en el entorno de escritorio. A pesar de que el ejecutable incluye en el nombre SSL, el protocolo utilizado será TLS. Para la configuración del servicio necesitaremos únicamente el certificado de usuario en formato .p12 que exportamos desde el Firefox. 1) Se descarga de una fuente fiable (como el FTP indicado en el apartado 6.3.1. Descarga desde una fuente alternativa, de este manual) el paquete forticlientsslvpn_linux_<versión>.tar.gz . Si lo hacemos con Firefox esto nos dejará el ejecutable por defecto en la carpeta “Descargas” de nuestro perfil (en Guadalinex y Ubuntu en español, /home/<nombre_de_usuario>/Descargas) 2) Se copia (con privililegios de root) el ejecutable al directorio /opt y se descomprime. Para ello abrimos una ventana de Terminal y navegamos a la carpeta en la que hemos descargado el paquete (en el caso considerado, ejecutando “cd Descargas”) sudo cp forticlientsslvpn*.gz /opt cd /opt sudo tar –xvf forticlientsslvpn*.gz (Estos comandos son los usados en Guadalinex y Ubuntu, para otras distribuciones puede ser necesario cambiar al usuario “root” y ejecutar los comandos sin el sudo). 3) Se ejecuta el programa por primera vez con privilegios administrativos para hacer la configuración inicial. sudo /opt/forticlientsslvpn/forticlientsslvpn MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 27 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 4) Se debe aceptar el acuerdo de licencia, para lo cual hay que navegar al final del mismo pasando las páginas con la barra espaciadora y escribiendo “Yes” o “Y” en la pregunta final: 5) Una vez aceptado se inicia la aplicación con privilegios de root, por lo que podremos definir los parámetros de conexión y que se queden guardados para las conexiones siguientes (que se harán como usuario estándar). MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 28 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 6) Se puede definir un perfil de conexión en el botón de Settings, desde donde se llega a: 7) Se pueden completar aquí los datos para guardarlos en la conexión por defecto (default), o pulsando sobre el botón “+” podemos definirla como nueva conexión: Los datos para la configuración de la conexión son los mismos que los reflejados en el apartado 6.6 Conexión mediante cliente pesado, salvo por los siguientes: - En la descripción del Server hay que indicar en campos separados el nombre del servidor y el puerto del servicio (443). (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es. (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 29 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red - Debe facilitarse la ruta hacia el certificado del usuario, en formato PKCS#12, así como la clave con la que está protegido (que coincidirá con la contraseña que se empleó en el momento de exportar el certificado). -Una vez terminada la definición de la conexión pulsamos “Create”, y “Done” en la ventana de Settings, lo que nos devolverá a la pantalla principal del cliente. (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es. Seleccionamos la conexión recién creada y pulsamos en “Connect” para realizar la primera conexión que guardará en el disco duro los parámetros de la misma (si cerramos el cliente sin hacer la primera conexión la configuración se pierde) (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 30 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Una vez el túnel esté establecido podemos detenerlo mediante el botón “Stop” una vez hayamos terminado nuestro trabajo. Para ejecuciones posteriores se puede lanzar el programa desde un terminal ejecutando el comando “/opt/forticlientsslvpn/forticlientsslvpn”. Para mayor comodidad, se puede crear un acceso directo en nuestro escritorio. En Guadalinex y Ubuntu (versiones anteriores a la 11.10) se pulsaría con el botón derecho del ratónen el escritorio y se seleccionaría “Crear un lanzador”: A partir de este momento podemos abrir el cliente VPN mediante el icono que se crea en el escritorio. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 31 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 8 CONFIGURACIÓN MAC OS X Se recomienda verificar cada 6 meses que el software instalado se corresponde con la última versión disponible, puede comprobarse esto accediendo a la URL de descarga alternativa http://vpn.juntadeandalucia.es. Si fuera necesario actualizar el software se aconseja borrar antes la versión anterior y luego instalar la versión más reciente. Desde sistemas operativos Mac OS X, al igual que ocurre en Linux, no existe la opción de iniciar las comunicaciones seguras con la RCJA a través del portal web, de modo que también se requiere la instalación de un cliente pesado para establecer el túnel VPN TLS, aunque aparece en el nombre SSL este no se utilizará. Para poder emplear el protocolo TLS será necesario tener instalado la versión 4.0.2297 o posterior de este cliente pesado, siendo necesario que se borre antes el cliente antiguo y procediendo luego a la instalación de esta última versión. La instalación y configuración de este cliente se realizan siguiendo los siguientes pasos, de forma análoga al caso anterior: 1) En caso de tener instalada una versión anterior a la 4.0.2297 habrá que proceder a borrar esta antes de instalar la versión más actual. 2) Se descarga de una fuente fiable (como el FTP indicado en el apartado 6.4.1. de este manual) el paquete forticlientsslvpn_macosx_<versión>.dmg . MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 32 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 3) Haciendo doble click sobre este paquete, el sistema operativo montará una imagen de disco llamada “forticlientsslvpn”. 4) Haciendo doble click en el archivo forticlientsslvpn.pkg dentro de la imagen de disco “forticlientsslvpn” se inicia el instalador, y se abre un sencillo asistente. Pulsando “Continuar” se nos muestra el acuerdo de licencia, que al pulsar “Continuar” nos solicitará su aceptación pulsando “Agree”. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 33 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Nos pide seleccionar el volumen en el que queremos instalar la aplicación. Si elegimos el disco duro principal de nuestro ordenador y no escogemos la carpeta, se realizará la instalación por defecto: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 34 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Con esto se queda el cliente instalado en la carpeta de Aplicaciones. 5) Se desmonta la imagen de disco ”forticlientsslvpn” (botón derecho y “Expulsar forticlientsslvpn”), y si se desea se puede enviar a la papelera el paquete forticlientsslvpn_macosx_<versión>.dmg . 6) Ejecutamos la aplicación forticlientsslvpn de la carpeta “Aplicaciones” 7) El aspecto y las opciones de este cliente son muy similares al comentado anteriormente para sistemas operativos Linux. Pulsamos el botón “Settings” para modificar el perfil “default” (no nos permitirá crear uno nuevo si el default está vacío). MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 35 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Los datos para la configuración de la conexión son los mismos que los reflejados en el apartado 6.6 Conexión mediante cliente pesado, salvo por los siguientes: - En la descripción del Server hay que indicar en campos separados el nombre del servidor y el puerto del servicio (443). - Debe facilitarse la ruta hacia el certificado del usuario, en formato PKCS#12, así como la clave con la que está protegido (que coincidirá con la contraseña que se empleó en el momento de exportar el certificado). Pulsando “Done” llegamos de nuevo a la ventana principal, donde podemos pulsar “Connect” para levantar el túnel. (**) En caso de utilizar la red WiFi de invitados de RCJA, el servidor a indicar sería vpnwifi.juntadeandalucia.es. (**) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 36 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Una vez el túnel esté establecido podemos detenerlo mediante el botón “Stop” una vez hayamos terminado nuestro trabajo. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 37 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 9 CONFIGURACIÓN ANDROID Desde Android, es necesario instalar el cliente VPN de Fortigate, para lo cual descargaremos de la Play Store de Google la aplicación Forticlient de Fortinet (marcado en rojo). Tendremos que otorgar a la aplicación los permisos necesarios para que funcione, una vez finalizada la instalación, en la pantalla de aplicaciones veremos el siguiente icono: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 38 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Al pulsarlo se abrirá el cliente VPN, que en el caso de ser la primera vez que se ejecuta, deberemos aceptar los permisos que nos solicita. A continuación procederemos a configurarla VPN, pulsando en las opciones señaladas en rojo: Pese a que en la configuración aparece SSL VPN, el protocolo que se empleará en la conexión será TLS. Para el nombre de la conexión hemos elegido “VPN RCJA”, nombre que se recomienda mantener, para facilitar el soporte técnico, en caso de necesitarse. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 39 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red En la siguiente pantalla debemos configurar los datos de conexión de la VPN de RCJA, nuestro usuario de acceso y cargar nuestro certificado digital. Los datos de conexión a la plataforma VPN SSL, aunque el protocolo que se empleará será TLS, corporativa con los siguientes: Server: 217.12.24.20 (NIX1) Port: 443 User/Pwd: usuario y contraseña de LDAP Certificate: hay que seleccionar el certificado FNMT CA Server Certificate: NO es necesario. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 40 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Para poder seleccionar el certificado de la FNMT, es necesario haberlo cargado previamente en el teléfono y tener instalado en el mismo un explorador de ficheros (para su instalación consultar anexo II). Al seleccionar el certificado nos aparecerá una ventana solicitando una password, esta se refiere a la contraseña que protege el certificado, no a la de la cuenta LDPA corporativa. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 41 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red En este punto ya está configurada la conexión, si pulsamos en el botón Connect se nos solicitará la password de nuestro usuario corporativo para acceder. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 42 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Y en este punto ya estamos conectados y podríamos usar el navegador web y otras herramientas para acceder a recursos corporativos. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 43 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 10 CONFIGURACIÓN IOS Desde IOS no será necesario la instalación de ningún software externo para la configuración del servicio VPN de RCJA. 10.1 Instalación certificado digital FNMT en Iphone Antes de proceder a la configuración de la VPN debemos tener instalado en el dispositivo el certificado digital de la FNMT que usamos para establecer la conexión. A continuación se detalla el procedimiento de instalación de dicho certificado en IOS, en este caso se procede a su instalación desde el correo electrónico, pulsando en las opciones señaladas en rojo. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 44 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Posteriormente nos solicitará que introduzcamos el código de desbloqueo del terminal y continuamos con el proceso de instalación. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 45 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Tras esto, nos solicitará la contraseña que protege el certificado digital, una vez indicada finalizamos la instalación. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 46 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 10.2 Configuración cliente VPN IOS En este caso la solución se basa en el cliente IPSEC que dispone el propio Sistema Operativo mobile IOS, concediéndose el acceso al servicio mediante autenticación por medio del acceso LDAP del usuario, y estableciéndose el túnel mediante certificado de la FNMT expedido al usuario. Estos usuarios LDAP deben tener un permiso especial que hay que solicitar para emplear el servicio VPN IPSEC de NIX. El direccionamiento IP será el mismo de los rangos ya creados para el servicio VPN SSL, por lo que puede ser necesario configurar reglas de cortafuegos en las sedes corporativas y/o ACLs en servicios concretos para poder acceder a ellos. Para proceder a la configuración de la VPN nos vamos a la opción Ajuste->General->VPN, como se indica en las siguientes imágenes señaladas en rojo: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 47 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Los datos de conexión mediante VPN IPSEC serán los siguientes: Tipo: IPSec Servidor: ivpn.juntadeandalucia.es Cuenta/Contraseña: usuario y contraseña de LDAP Usar certificado: seleccionamos esta opción Certificado: certificado FNMT del usuario MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones,Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 48 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 49 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red En este momento ya tenemos configurada la conexión, si deslizamos el botón “Estado” se establecerá la conexión mediante nuestra VPN de RCJA. En este punto podemos observar que nos aparece el símbolo VPN en la parte superior de la pantalla, que nos indica que se ha establecido nuestra conexión, además podemos observar los parámetros de esta pulsando el botón de información. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 50 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 11 LISTA DE DISTRIBUCIÓN Lista de distribución interna Lista de distribución externa Jefes de Área y Responsables de Unidad Área de Tecnología e Ingeniería Área de Operaciones Telecomunicaciones Área de Asistencia Usuario y Gestión de Telecomunicaciones Área de Desarrollo y Facturación del Servicio Área de Gestores de Cuentas N/A Se indicaran, dentro del ámbito de SANDETEL, los Departamentos, las Áreas, Unidades y/o las personas que deben de recibir el documento. Para la distribución externa se indicaran las empresas y personas que igualmente deben de recibirlo. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 51 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red 12 ANEXOS ANEXO I: OBTENCIÓN Y DESCARGA DE CERTIFICADOS Si no disponemos ya de certificado emitido por la FNMT, podemos solicitarlo en la página web de Certificación Española (CERES), a la cual habrá que acceder con alguno de los navegadores soportados por la misma, es decir Internet Explorer 6.x, 7.x, 8.x o 9.x o Firefox 3.x o superior. Si se intentan realizar los trámites con otro navegador tal como Safari o Chrome se producirá fallo en el momento de la descarga y deberá repetirse todo el proceso incluso aunque ya se haya visitado la Oficina de Registro. Se recomienda en el caso de Windows el uso de Internet Explorer ya que el proceso importará el certificado también al almacén criptográfico de Windows, pudiendo fácilmente exportarse posteriormente e importarlo a Firefox si se desea, aunque también se incluyen instrucciones para Firefox si no se desea usar Explorer ni siquiera para este cometido. Web de CERES http://www.cert.fnmt.es/ Debe pincharse en el enlace “Obtenga el Certificado de Usuario” http://www.cert.fnmt.es/ MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 52 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red AI.1 Manual Solicitud Certificado En la misma página principal de la Web CERES, se puede descargar un manual donde se explican todos los pasos a seguir para solicitar y configurar el certificado en nuestro equipo. Se recomienda el uso de este para completar el proceso con éxito. Este da información de la configuración necesaria en los siguientes navegadores - Microsoft Internet Explorer - Mozilla Firefox (Windows, Linux y MAC) - Google Chrome (Windows, Linux y MAC) MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 53 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red También da instrucciones para la importación/exportación de certificados con los distintos navegadores. MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 54 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red ANEXO II: INSTALACIÓN DE SOFTWARE COMPLEMENTARIO EN ANDROID AII.1 Gestor de ficheros Hay multitud de Gestores de ficheros disponibles en la tienda de aplicaciones de Google, muchos de ellos de carácter gratuito. En el presente manual explicaremos como encontrar la aplicación “File Manager” en la tienda de aplicaciones y como instalarla en nuestro terminal. Abrimos la tienda de aplicaciones: Seleccionamos buscar y escribimos en el cuadro de texto File Manager, esto nos llevara a la página de descarga / instalación del software donde pulsaremos sobre instalar: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 55 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red A continuación pulsamos el botón Aceptar y descargar, tras lo que comenzara la instalación del software: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 56 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red Una vez finalizado el proceso, la aplicación estará disponible para el uso en otras aplicaciones y de manera directa en el menú de aplicaciones: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 57 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las TelecomunicacionesEste documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red ANEXO III: TRANSFERENCIA DEL CERTIFICADO AL TERMINAL MÓVIL. Para poder usar el cliente de Fortigate para conectar a la RCJA, es necesario tener en el terminal un certificado digital de la FNMT, el cual puede transferirse al mismo de diversas maneras: Bluetooth Cable usb E-mail Etc. Una vez en el terminal, debemos localizar su ubicación ya que será necesario especificarla durante la instalación del software FortiClient: MANUAL DE USUARIO PARA EL SERVICIO VPN TLS Cód. SDS-MU-043 Edición. 1.8 Fecha: 22/08/2019 Departamento /Área/Unidad: Telecomunicaciones, Calidad y Desarrollo del Negocio/ Tecnología e Ingeniería Pág. 58 de 58 Tipo de documento: Manual de Usuario Categoría: Uso Interno 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones Este documento no tiene garantía de estar en vigor. Consulte el fichero emplazado en red ANEXO IV: OBTENCIÓN Y UTILIZACIÓN DEL DNIE. Si no hemos empleado nunca el DNIe o necesitamos información de cómo obtenerlo o utilizarlo podemos encontrar esta y mucha más información a través de la web del DNI electrónico del Cuerpo Nacional de la Policía. http://www.dnielectronico.es/PortalDNIe/index.jsp http://www.dnielectronico.es/PortalDNIe/index.jsp
Compartir