Sertifikaattipohjainen välityspalvelimen todennus iOS VPN -sovelluksessa sisältää useita teknisiä vaiheita, jotka keskittyvät VPN- ja välityspalvelimen asetusten määrittämiseen asianmukaisesti varmistaen, että varmenteet otetaan käyttöön ja hallitaan turvallisesti iOS-laitteessa. Tämä menetelmä parantaa turvallisuutta käyttämällä digitaalisia varmenteita asiakkaan todentamiseksi VPN-palvelimelle ja välityspalvelimelle poistamalla tai vähentämällä käyttäjän syöttämien käyttöoikeustietojen tarvetta.
VPN -välityspalvelimen kokoonpano iOS: ssä
IOS: ssä VPN -välityspalvelimen kokoonpano voidaan tehdä määrittelemällä VPN -yhteyden välityspalvelimen asetukset. Tätä kokoonpanoa voidaan hallita joko manuaalisesti tai automaattisesti:
- Manuaalinen välityspalvelimen asetus vaatii välityspalvelimen osoitteen, portin ja tarvittavan todennuksen määrittämisen.
- Esimerkiksi PAC -tiedostot voidaan isännöidä HTTPS: n kautta ja tarjota laitteelle URL -osoitteen kautta.
VPN -välityspalvelimen kokoonpanon käyttäminen varmistaa, että välityspalvelin sovelletaan joko kaikkiin verkkoyhteyksiin, jos VPN tarjoaa oletusreitin tai valikoivasti isäntille VPN: n DNS -hakualueilla, jos VPN toimii jaetussa tunnelitilassa. Tämä asennus on ratkaisevan tärkeä liikenteen todentamiseksi välityspalvelimen kautta osana VPN -tunnelia.
Sertifikaatin asennus ja validointi
Varmennuspohjaisen todennuksen toteuttaminen vaatii seuraavat avainvarmenteen näkökohdat:
- VPN -palvelimen on esitettävä henkilöllisyystodistus, joka sisältää sen DNS -nimen tai IP -osoitteen aiheen vaihtoehtoisessa nimen (SubjectName) -kenttään palvelimen aitouden validoimiseksi asiakaslaitteeseen.
- Tämä varmenne on allekirjoitettava asiakaslaitteen luotettavan varmenneviranomaisen (CA).
- Asiakaslaitteen on oltava CA -varmenne asennettu luottamaan palvelinvarmenteeseen.
- VPN -palvelin on määritettävä hyväksymään ja validoimaan asiakassertifikaatit. Nämä sertifikaatit on annettava luotettava CA, ja palvelin voi käyttää asiakasvarmenteen kenttiä käyttäjäryhmien tai roolien tunnistamiseen.
- Todistusten on oltava kelvollisia, luotettavia ja vanhentuneita. Toisin kuin jotkut protokollat, iOS VPN -asetusten palvelin ei lähetä koko varmenteen luottamusketjua, joten laitteen on jo asennettu täysi luottamusketju.
Sertifikaattien käyttöönotto iOS -laitteisiin
IOS-laitteet voivat käyttää varmennepohjaista todennusta tehokkaasti, kun varmenteet otetaan käyttöön oikein, usein mobiililaitteiden hallintajärjestelmien, kuten Microsoft Intune, kautta. Käyttöönottovaiheet sisältävät:
1. VPN -palvelimen Root CA -sertifikaatin tuominen ja luottaminen laitteessa. Tähän sisältyy tyypillisesti luotettavan varmenneprofiilin asentaminen laitteeseen.
2. Asiakkaan todennusvarmenteiden määrittäminen ja käyttöönotto. Niitä voidaan ajaa läpi profiilit, jotka tukevat joko yksinkertaista sertifikaatin ilmoittautumisprotokollaa (SCEP) tai julkisen avaimen salausstandardien (PKC) varmenteita.
3. VPN -profiilien määrittäminen, jotka määrittelevät varmenteen todennuksen yhteysmenetelmänä.
4
MDM -työkalut auttavat hallitsemaan näitä varmenteita varmistamalla turvallisuuskäytäntöjen noudattamisen ja altistuneiden yksityisten avaimien riskin vähentäminen automatisoimalla turvallisen käyttöönoton. Käyttämättä MDM: ää, sertifikaatit manuaalisesti iOS-laitteisiin epäonnistuu usein varmennepohjaisessa VPN-todennuksessa, koska järjestelmä rajoittaa VPN-asiakassovelluksia pääsemästä manuaalisesti asennettuihin varmenteisiin vapaasti.
App VPN ja varmenteen todennus
Apple tukee APPN-VPN-konfiguraatioita, jotka sallivat VPN-yhteyden laatimisen yksittäisiin sovelluksiin järjestelmän laajuisen sijasta. Kun asetat sovelluksen kohtaa VPN: tä varmenteen todennuksella:
- Laitteeseen on luotava ja työnnettävä luotettava juurisertifikaattiprofiili.
- Sertifikaattiprofiili (SCEP tai PKCS) asiakassertifikaatin toimittaminen on määritetty ja määritetty.
- Luodaan VPN -profiili, joka määrittelee asiakasvarmenteen todennusmenetelmänä.
- VPN on määritetty laitekoryhmille, jotta voidaan käyttää sovelluksen VPN-valtuutusta.
Tämä säilyttää sertifikaattipohjaisen todennusturvallisuuden samalla kun järjestelmänvalvojat voivat rajoittaa VPN: n käyttöä tiettyihin yrityssovelluksiin, mikä on erityisen hyödyllistä yritysympäristöissä.
Tekninen toteutus mukautetuissa iOS VPN -sovelluksissa
Kehittäjille, jotka rakentavat mukautetun iOS VPN -sovelluksen, joka käyttää varmennepohjaista välityspalvelimen todennusta, seuraavat komponentit ja sovellusliittymät ovat välttämättömiä:
- Käytä VPN -yhteyksiä Networkextension -kehyksellä.
- Määritä NEVPNMANAGER tai NETUNNELPROVIDER VPN -yhteysparametrien määrittämiseksi.
- Lataa asiakassertifikaatit sovelluksen avainnilloon turvallisesti. Näihin varmenteisiin on oltava saatavilla VPN -yhteysprofiililla.
- Aseta TLS -todennus sekä VPN -tunnelille että mahdolliselle välityspalvelimelle viittaamalla asiakassertifikaattiin ja validoimalla palvelinvarmenteen.
- Käsittele välityspalvelimen asetuksia ohjelmallisesti, määrittämällä välityspalvelimen osoite ja portti osana VPN -kokoonpanoa, joka mahdollisesti tukee PAC -tiedostoja.
- Toteuta varmenteen validointilogiikka osana VPN -yhteyden elinkaarta varmistaaksesi, että varmenteet ovat ajan tasalla ja vastaa odotettuja identiteettejä.
- Tarjoa mekanismeja varmenteiden uusimiseen tai uudelleensijoittamiseen SCEP: n kaltaisen suojatun protokollan avulla, kun varmenteet päättyvät.
Kehittäjien on myös otettava huomioon Applen vaatimukset ja rajoitukset varmenteiden käyttöoikeuksille ja VPN -määritykselle iOS: ssä. Esimerkiksi sovelluksella on oltava asianmukaiset oikeudet, ja käyttäjien on ehkä hyväksyttävä profiilien tai varmenteiden asentaminen manuaalisesti, ellei sitä hallita MDM: n kautta.
haasteet ja näkökohdat
- iOS rajoittaa VPN -sovelluksia MDM: n kautta hallittujen profiilien ulkopuolella olevien asiakassertifikaattien käyttämisestä, mikä vaatii yrityksen käyttöönottostrategioita.
–
- VPN -palvelin on määritettävä asianmukaisesti käsittelemään asiakasvarmenteen validointia ja varmistamaan varmenteen määritteiden sovittaminen käyttäjän käyttöoikeuksiin.
- VPN: n välityspalvelimen kokoonpanon on oltava yhteensopiva VPN: n tunnelointi- ja reititysmekanismien kanssa; Jaettu tunnelointi voi vaatia ylimääräistä välityspalvelimen kokoonpanoa.
- Yleinen tietoturva riippuu huolellisesta varmenteen elinkaaren hallinnasta, mukaan lukien liikkeeseenlasku, uusiminen ja peruuttaminen.
Yhteenveto
Sertifikaattipohjaisen välityspalvelimen todennuksen toteuttaminen IOS VPN -sovelluksessa sisältää VPN: n määrittämisen välityspalvelimen asetusten (joko manuaalisten tai PAC-pohjaisten) käyttämiseen, luotettavien CA- ja asiakassertifikaattien käyttöönottoon MDM-ratkaisujen avulla ja varmenteen todennuksen määrittäminen VPN-profiileissa. Kehitys vaatii Applen NetworKextension -kehyksen hyödyntämistä VPN -yhteyksien määrittämiseksi käyttämällä turvallisesti avaimenpohjaan tallennettuja varmenteita varmistaen TLS -todennuksen sekä VPN- että välityspalvelimen tasoilla. IOS -järjestelmän rajoitusten vuoksi sertifikaattien käyttöönotto ja hallinta käsitellään tyypillisesti Enterprise MDM -työkalujen avulla saumattomien ja turvallisten todennuskokemusten mahdollistamiseksi.
Tämä arkkitehtuuri varmistaa vahvan todennuksen varmenteiden avulla, parantaa turvallisuutta poistamalla salasanan riippuvuudet ja tukee yritysten skenaarioita, kuten sovelluksen per-VPN-kokoonpanoja, jotka kaikki ovat iOS-tietoturva- ja hallintakehysten mukaisia.