Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Jak mohu implementovat ověřování proxy založené na certifikátu v aplikaci iOS VPN


Jak mohu implementovat ověřování proxy založené na certifikátu v aplikaci iOS VPN


Ověřování proxy založené na certifikátech v aplikaci iOS VPN zahrnuje několik technických kroků zaměřených na konfiguraci nastavení VPN a proxy přiměřeně a zároveň zajišťuje, že certifikáty jsou bezpečně nasazeny a spravovány na zařízení iOS. Tato metoda zvyšuje zabezpečení pomocí digitálních certifikátů k ověření klienta na server VPN a proxy, což eliminuje nebo sníží potřebu přihlašovacích údajů zadaných uživateli.

VPN proxy konfigurace na iOS

V iOS lze konfiguraci proxy VPN provést zadáním nastavení proxy pro připojení VPN. Tuto konfiguraci lze spravovat buď ručně nebo automaticky:

- Manuální nastavení proxy vyžaduje zadání adresy proxy, port a jakékoli potřebné ověření.
-Automatická konfigurace proxy lze nastavit pomocí souborů proxy auto-konfigurace (PAC) nebo pomocí protokolu WPAD pro automatické objevování webového proxy (WPAD). Například soubory PAC mohou být hostovány přes HTTPS a poskytnuty zařízení prostřednictvím URL.

Použití konfigurace proxy VPN zajišťuje, že proxy je aplikován buď na všechna síťová připojení, pokud VPN poskytuje výchozí trasu nebo selektivně pro hostitele v doménách DNS vyhledávání VPN, pokud VPN pracuje v režimu Split Tunnel. Toto nastavení je zásadní pro řízení autentizace provozu prostřednictvím proxy jako součást tunelu VPN.

Nastavení a ověření certifikátu

Implementace ověření založené na certifikátech vyžaduje následující úvahy o klíčových certifikátech:

- Server VPN musí prezentovat certifikát identity, který obsahuje jeho název DNS nebo IP adresu v poli alternativního názvu předmětu (subjectAlTName), aby se ověřil autentičnost serveru do klientského zařízení.
- Tento certifikát musí být podepsán certifikačním úřadem (CA) důvěryhodným klientským zařízením.
- Klientské zařízení musí mít nainstalovaný certifikát CA, aby důvěřoval certifikátu serveru.
- Server VPN musí být nakonfigurován tak, aby přijímal a ověřil klientské certifikáty. Tyto certifikáty by měly být vydány důvěryhodnou CA a server může použít pole v klientském certifikátu k identifikaci skupin uživatelů nebo rolí.
- Certifikáty musí být platné, důvěryhodné a nevypršené. Na rozdíl od některých protokolů server v IOS VPN nastavení neposílá celý řetězec důvěryhodnosti certifikátu, takže zařízení musí již mít nainstalovaný úplný řetězec důvěry.

Nasazení certifikátů na zařízeních iOS

Zařízení IOS mohou používat ověřování založené na certifikátech efektivně, když jsou certifikáty nasazeny správně, často prostřednictvím systémů správy mobilních zařízení (MDM), jako je Microsoft Intune. Mezi klíčové kroky pro nasazení patří:

1. Import a důvěru v kořenovou CA certifikátu serveru VPN na zařízení. To obvykle zahrnuje instalaci důvěryhodného profilu certifikátu do zařízení.
2. konfigurace a nasazení certifikátů ověřování klientů. Mohou být posunuty prostřednictvím profilů, které podporují certifikáty jednoduchého protokolu pro zápis (SCEP), nebo na kryptografii veřejných klíčů (PKCS).
3. Přiřazení profilů VPN, které určují ověřování certifikátů jako metodu pro připojení.
4. Zajištění správného označení certifikátů pro ověřování klienta v jejich klíčových polích využití.

Nástroje MDM pomáhají spravovat tyto certifikáty, zajistit dodržování bezpečnostních zásad a snižovat riziko exponovaných soukromých klíčů automatizací zabezpečeného nasazení. Bez použití MDM ruční instalace certifikátů na zařízeních iOS často selhává pro ověřování VPN založené na certifikátech, protože systém omezuje klientské aplikace VPN v přístupu k volnému přístupu k ručně nainstalovaným certifikátům.

Per-App VPN a ověření certifikátu

Apple podporuje konfigurace VPN na App, které umožňují, aby připojení VPN bylo rozsazeno spíše do jednotlivých aplikací než na celé systémy. Při nastavení VPN v APP s ověřováním certifikátu:

- Musí být vytvořen a tlačen do zařízení důvěryhodný profil kořenového certifikátu.
- Profil certifikátu (SCEP nebo PKCS), který dodává klientský certifikát, je nakonfigurován a přiřazen.
- Profil VPN je vytvořen určujícím klientský certifikát jako metodu ověřování.
- VPN je přiřazena ke skupinám zařízení, aby se povolila autorizace VPN v aplikaci.

To zachovává zabezpečení ověřování založené na certifikátech a umožňuje správcům omezit využití VPN na konkrétní podnikové aplikace, což je zvláště užitečné v podnikových prostředích.

Technická implementace v vlastních aplikacích iOS VPN

Pro vývojáře vytvářející vlastní aplikaci IOS VPN, která používá ověřování proxy založené na certifikátu, jsou nezbytné následující komponenty a API:

- Pomocí rámce NetWorkextension Konfigurace a správu připojení VPN.
- Nakonfigurujte NevpnManager nebo NetUnnelProvider tak, aby určily parametry připojení VPN.
- Načtěte klientské certifikáty do klíčenky aplikace bezpečně. Tyto certifikáty musí být přístupné profilem připojení VPN.
- Nastavte ověřování TLS pro tunel VPN i pro jakoukoli proxy komunikaci odkazem na certifikát klienta a ověřením certifikátu serveru.
- Programově zpracovávejte proxy nastavení, zadejte adresu serveru proxy a port v rámci konfigurace VPN, potenciálně podporující soubory PAC.
- Implementujte logiku ověřování certifikátů jako součást životního cyklu VPN připojení, aby se zajistilo, že certifikáty jsou aktuální a odpovídají očekávané identitě.
- Poskytněte mechanismy pro obnovení nebo opětovné zápis certifikátů pomocí zabezpečeného protokolu, jako je SCEP, při vypršení platnosti certifikátů.

Vývojáři musí také zvážit požadavky a omezení společnosti Apple týkající se přístupu k certifikátu a konfiguraci VPN na iOS. Například aplikace musí mít správné nároky a uživatelé možná budou muset přijmout instalaci profilů nebo certifikátů ručně, pokud není spravováno prostřednictvím MDM.

Výzvy a úvahy

- iOS omezuje aplikace VPN v používání klientských certifikátů mimo profily spravované prostřednictvím MDM, což vyžaduje strategie nasazení podniku.
- Manuální instalace klientských certifikátů často vede k problémům s připojením v důsledku omezení karantény a přístupu k certifikátu iOS.
- Server VPN musí být správně nakonfigurován tak, aby zpracovával ověření certifikátu klienta a zajistil porovnávání atributů certifikátu k oprávnění uživatelů.
- Konfigurace proxy nad VPN musí být kompatibilní s mechanismy tunelování a směrování VPN; Rozdělené tunelování může vyžadovat další konfiguraci proxy.
- Celková zabezpečení závisí na pečlivém řízení životního cyklu certifikátů, včetně vydání, obnovy a zrušení.

Shrnutí

Implementace ověřování proxy založené na certifikátech v aplikaci iOS VPN zahrnuje konfiguraci VPN pro použití proxy nastavení (ruční nebo PAC), nasazení důvěryhodných certifikátů CA a klientů prostřednictvím řešení MDM a zadávání ověřování certifikátů v profilech VPN. Vývoj vyžaduje využití rámce NetWorKextension Apple pro konfiguraci připojení VPN pomocí certifikátů uložených bezpečně v klíčové barvě, což zajišťuje ověřování TLS na úrovni VPN i proxy. Vzhledem k omezením systému iOS se nasazení a správu certifikátů obvykle zpracovávají prostřednictvím nástrojů Enterprise MDM, které umožňují bezproblémové a zabezpečené zážitky z ověřování.

Tato architektura zajišťuje silnou ověřování pomocí certifikátů, zlepšuje zabezpečení odstraněním závislostí na heslech a podporuje podnikové scénáře, jako jsou konfigurace VPN v aplikaci, vše odpovídá rámcům zabezpečení a správy iOS.