 W poniższym artykule zaprezentujemy w jaki sposób skonfigurować kilka elementów systemu opartego o urządzenie NETASQ do autentykacji IPSec VPN za pomocą certyfikatów gdzie certyfikat użytkownika (klienta łączącego się poprzez VPN) jest przechowywany na tokenie USB.
Elementy składowe systemu to:
 Autentykacja za pomocą certyfikatów jest zalecanym rozwiązaniem w przypadku tworzenia tuneli client-to-side gdzie klient łączy się z nie określonych lokalizacji, zapobiega atakom typu "man-in-the-middle". Zastosowanie tokena stanowi dodatkowe zabezpieczenie np. na wypadek utraty lub pozbawieniu kontroli nad komputerem ze skonfigurowanym połączeniem VPN.
W prezentowanym przykładzie wykorzystujemy trzy elementy infrastruktury PKI: certyfikat urzędu certyfikacji (CA), plik zawierający informację o odwołanych certyfikatach dla urzędu certyfikacji oraz kontenery PSKF12 zawierające klucze: prywatny i publiczny użytkownika oraz serwera VPN. Opisane elementy można utworzyć samodzielnie w zakresie własnej infrastruktury PKI i nie stanowią one tematu tego opisu. W przykładzie wykorzystaliśmy pliki utworzone w Centrum Certyfikacji opartym o oprogramowanie OpenSSL (pakiet zainstalowany w środowisku FreeBSD). Należy zaznaczyć, że w modelach urządzeń NETASQ serii U powyżej modelu U70 (tj. modeli z dyskiem twardym) pełne środowisko PKI dostępne jest w ramach urządzenia (nie ma konieczności stosowania produktów firm trzecich)
Zaczniemy od umieszczenia certyfikatów na tokenie. W naszym przykładzie wykorzystaliśmy token USB firmy Aladdin eToken. Jest to produkt oficjalnie wspierany przez oprogramowanie klienckie TheGreenBow IPSec VPN Client.
Kolejnym etapem konfiguracji będzie konfiguracja serwera VPN na urządzeniu NETASQ.
Pozostaje tylko skonfigurować oprogramowanie klienta VPN.
No i czas na finał.
*Należy pamiętać o konfiguracji reguł na firewall-u dla usług: isakmp, isakmp_natt oraz protokołu vpn-esp.
| 
(instalacja certyfikatu użytkownika na tokenie)
