Déploiement du client Sophos VPN SSL par GPO

Comment déployer le client VPNSSL de Sophos sur vos machines Windows ? Sophos ne donne pas de MSI.

Récupération du certificat

Tout d’abord je vous conseil de créer un utilisateur, de récupérer son exécutable VPN SSL, et de supprimer cet utilisateur. ( sait on jamais )

Lors de l’installation du client, celui ci va créer la carte réseau et demandera l’autorisation vis à vis du certificat Sophos, pour passer outre il faut aller récupérer ce certificat et l’installer dans le Magasin de certificat avant l’installation du client VPNSSL.

Pour cela il suffit de l’extraire via l’exécutable, il se trouve dans le dossier « Driver », si vous double cliquez sur le fichier tap0901.cat vous pouvez extraire le certificat, placez le de côté vous en aurez besoin pour la suite.

Script d’installation

Le script est assez simple en lui même :

certutil -addstore "TrustedPublisher" "\\Partage\Reseau\Sophos.cer"
\\Partage\Reseau\SophosVPN.exe /S
del "%SYSTEMDRIVE%\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\installsophos@Dom_ssl_vpn_config.ovpn"

En gros, le script va d’abord ajouter le certificat TAP dans le magasin de certificat pour éviter le Warning, ensuite on peut installer le client SSL VPN en mode silencieux ( /S ) et finalement on va supprimer le fichier de config lié à l’utilisateur.

GPO

La GPO devra exécuter le script à l’allumage de l’ordinateur et aussi placer les droits de modification pour les utilisateurs VPN sur le dossier config dans le dossier Sophos SSL VPN Client et ce afin que les utilisateurs puissent télécharger leur fichier OVPN sur le portail Sophos et le placer dans le dossier config. Inutile si vos utilisateurs ont les droits d’administration sur leurs PC.

Et voila, charge à chaque utilisateur de se connecter au portail web Sophos, télécharger le fichier de configuration .ovpn et de le placer dans le sous dossier config