Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon كيف يمكنني تنفيذ مصادقة الوكيل المستندة إلى الشهادة في تطبيق iOS VPN


كيف يمكنني تنفيذ مصادقة الوكيل المستندة إلى الشهادة في تطبيق iOS VPN


تتضمن مصادقة الوكيل المستندة إلى الشهادة في تطبيق iOS VPN العديد من الخطوات الفنية المتمركزة على تكوين إعدادات VPN والوكالة بشكل مناسب مع ضمان نشر الشهادات وإدارتها بشكل آمن على جهاز iOS. تعزز هذه الطريقة الأمان باستخدام الشهادات الرقمية لمصادقة العميل على خادم VPN والوكالة ، مما يلغي أو تقليل الحاجة إلى بيانات الاعتماد التي يديرها المستخدم.

تكوين وكيل VPN على iOS

في iOS ، يمكن إجراء تكوين وكيل VPN عن طريق تحديد إعدادات الوكيل لاتصال VPN. يمكن إدارة هذا التكوين إما يدويًا أو تلقائيًا:

- يتطلب إعداد الوكيل اليدوي تحديد عنوان الوكيل والمنفذ وأي مصادقة مطلوبة.
-يمكن تعيين تكوين الوكيل التلقائي باستخدام ملفات التكوين التلقائي للوكالة (PAC) أو باستخدام بروتوكول اكتشاف ويب ويب (WPAD). على سبيل المثال ، يمكن استضافة ملفات PAC عبر HTTPS وتقديمها إلى الجهاز عبر عنوان URL.

يضمن استخدام تكوين وكيل VPN أن يتم تطبيق الوكيل إما على جميع اتصالات الشبكة إذا كان VPN يوفر المسار الافتراضي أو بشكل انتقائي للمضيفات ضمن مجالات البحث DNS الخاصة بـ VPN إذا كان VPN يعمل في وضع النفق المقسم. يعد هذا الإعداد أمرًا بالغ الأهمية لتوجيه حركة مرور المصادقة من خلال الوكيل كجزء من نفق VPN.

إعداد الشهادة والتحقق منها

يتطلب تنفيذ المصادقة المستندة إلى الشهادة اعتبارات الشهادة الرئيسية التالية:

- يجب أن يقدم خادم VPN شهادة هوية تحتوي على اسم DNS أو عنوان IP في حقل الاسم البديل للموضوع (thisionName) للتحقق من صحة صحة الخادم لجهاز العميل.
- يجب توقيع هذه الشهادة من قبل هيئة الشهادة (CA) التي يتم الوثوق بها من قبل جهاز العميل.
- يجب أن يكون لجهاز العميل شهادة CA مثبتة للثقة في شهادة الخادم.
- يجب تكوين خادم VPN لقبول شهادات العميل والتحقق منه. يجب إصدار هذه الشهادات بواسطة CA موثوق بها ، ويمكن للخادم استخدام الحقول في شهادة العميل لتحديد مجموعات المستخدمين أو الأدوار.
- يجب أن تكون الشهادات صالحة وموثوق بها ولا تنتهي صلاحيتها. على عكس بعض البروتوكولات ، لا يرسل الخادم في إعدادات iOS VPN سلسلة الثقة بأكملها ، لذلك يجب أن يكون الجهاز بالفعل تم تثبيت سلسلة الثقة الكاملة.

نشر الشهادات على أجهزة iOS

يمكن لأجهزة iOS استخدام المصادقة المستندة إلى الشهادة بشكل فعال عندما يتم نشر الشهادات بشكل صحيح ، وغالبًا من خلال أنظمة إدارة الأجهزة المحمولة (MDM) مثل Microsoft Intune. تشمل الخطوات الرئيسية للنشر:

1. استيراد والثقة في شهادة CA لخادم VPN على الجهاز. يتضمن ذلك عادةً تثبيت ملف تعريف شهادة موثوق به على الجهاز.
2. تكوين ونشر شهادات مصادقة العميل. يمكن دفعها من خلال ملفات تعريف تدعم إما شهادات بروتوكول تسجيل الشهادة البسيطة (SCEP) أو شهادات المعايير العامة للمفاتيح العامة (PKCS).
3. تعيين ملفات تعريف VPN التي تحدد مصادقة الشهادة كطريقة للاتصال.
4. ضمان وضع علامة على الشهادات بشكل مناسب لمصادقة العميل في حقول الاستخدام الرئيسية الخاصة بهم.

تساعد أدوات MDM في إدارة هذه الشهادات ، وضمان الامتثال لسياسات الأمان وتقليل مخاطر المفاتيح الخاصة المكشوفة عن طريق أتمتة النشر الآمن. دون استخدام MDM ، غالبًا ما يفشل تثبيت الشهادات على أجهزة iOS في مصادقة VPN المستندة إلى الشهادة ، حيث يقيد النظام تطبيقات عميل VPN من الوصول إلى الشهادات المثبتة يدويًا بحرية.

Per-App VPN ومصادقة الشهادة

تدعم Apple تكوينات VPN لكل تطبيق تتيح تحديد اتصال VPN للتطبيقات الفردية بدلاً من على مستوى النظام. عند إعداد VPN لكل تطبيق مع مصادقة الشهادة:

- يجب إنشاء ملف تعريف شهادة الجذر الموثوق ودفعه إلى الجهاز.
- يتم تكوين ملف تعريف الشهادة (SCEP أو PKCS) التي توفر شهادة العميل وتعيينها.
- يتم إنشاء ملف تعريف VPN لتحديد شهادة العميل كطريقة المصادقة.
- يتم تعيين VPN لمجموعات الأجهزة لتمكين ترخيص VPN لكل تطبيق.

يحافظ هذا على أمان المصادقة القائم على الشهادة مع السماح للمسؤولين بتقييد استخدام VPN لتطبيقات مؤسسة محددة ، وهو أمر مفيد بشكل خاص في بيئات الشركات.

التنفيذ الفني في تطبيقات IOS VPN المخصصة

بالنسبة للمطورين الذين يقومون ببناء تطبيق مخصص لـ iOS VPN يستخدم مصادقة الوكيل المستندة إلى الشهادة ، فإن المكونات التالية وواجهات برمجة التطبيقات ضرورية:

- استخدم إطار عمل NetWorkextension لتكوين وإدارة اتصالات VPN.
- تكوين nevpnmanager أو netUnnelprovider لتحديد معلمات اتصال VPN.
- قم بتحميل شهادات العميل في سلسلة مفاتيح التطبيق بشكل آمن. يجب الوصول إلى هذه الشهادات بواسطة ملف تعريف اتصال VPN.
- قم بإعداد مصادقة TLS لكل من نفق VPN وأي اتصالات وكيل من خلال الرجوع إلى شهادة العميل والتحقق من صحة شهادة الخادم.
- التعامل مع إعدادات الوكيل برمجيا ، تحديد عنوان خادم الوكيل والمنفذ كجزء من تكوين VPN ، وربما دعم ملفات PAC.
- تنفيذ منطق التحقق من صحة الشهادة كجزء من دورة حياة اتصال VPN لضمان أن تكون الشهادات حالية وتتناسب مع الهويات المتوقعة.
- توفير آليات لتجديد الشهادة أو إعادة التسجيل باستخدام بروتوكول آمن مثل SCEP عندما تنتهي صلاحية الشهادات.

يجب على المطورين أيضًا مراعاة متطلبات Apple وقيودها على الوصول إلى الشهادة وتكوين VPN على iOS. على سبيل المثال ، يجب أن يكون للتطبيق استحقاقات مناسبة ، وقد يحتاج المستخدمون إلى قبول تثبيت الملفات الشخصية أو الشهادات يدويًا ما لم تتم إدارتها عبر MDM.

التحديات والاعتبارات

- يقوم iOS بتقييد تطبيقات VPN من استخدام شهادات العميل خارج ملفات التعريف المدارة من خلال MDM ، وتتطلب استراتيجيات نشر المؤسسة.
- غالبًا ما يؤدي التثبيت اليدوي لشهادات العميل إلى مشكلات الاتصال بسبب قيود IOS Sandboxing وقيود الوصول إلى الشهادة.
- يجب تكوين خادم VPN بشكل صحيح للتعامل مع التحقق من صحة شهادة العميل والتأكد من مطابقة سمات الشهادة لأذونات المستخدم.
- يجب أن يكون تكوين الوكيل عبر VPN متوافقًا مع آليات نفق وتوجيه VPN ؛ قد يتطلب تقسيم النفق تكوين وكيل إضافي.
- يعتمد الأمن العام على إدارة دورة حياة الشهادة الدقيقة ، بما في ذلك الإصدار والتجديد والإلغاء.

ملخص

يتضمن تنفيذ مصادقة الوكيل المستندة إلى الشهادة في تطبيق iOS VPN تكوين VPN لاستخدام إعدادات الوكيل (إما اليدوي أو المستند إلى PAC) ، ونشر شهادات CA و CLIENT الموثوقة عبر حلول MDM ، وتحديد مصادقة الشهادة في ملفات تعريف VPN. يتطلب التطوير الاستفادة من إطار عمل NetWorkextension من Apple لتكوين اتصالات VPN باستخدام الشهادات المخزنة بشكل آمن في سلسلة المفاتيح ، مما يضمن مصادقة TLS على كل من مستويات VPN والوكالة. نظرًا لقيود نظام iOS ، يتم عادةً معالجة نشر الشهادات وإدارتها عبر أدوات MDM للمؤسسة لتمكين تجارب المصادقة غير الملحومة والآمنة.

تضمن هذه البنية مصادقة قوية باستخدام الشهادات ، وتحسين الأمان عن طريق إزالة تبعيات كلمة المرور ، ودعم سيناريوهات المؤسسة مثل تكوينات VPN في التطبيق ، وكلها تتوافق مع أطر الأمان والإدارة iOS.