Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kā es varu ieviest sertifikātu balstītu starpniekservera autentifikāciju iOS VPN lietotnē


Kā es varu ieviest sertifikātu balstītu starpniekservera autentifikāciju iOS VPN lietotnē


Sertifikātu balstīta starpniekservera autentifikācija iOS VPN lietotnē ietver vairākas tehniskas darbības, kuru centrā ir VPN un starpniekservera iestatījumu konfigurēšana, vienlaikus nodrošinot, ka sertifikāti tiek izvietoti un droši pārvaldīti iOS ierīcē. Šī metode uzlabo drošību, izmantojot digitālos sertifikātus, lai autentificētu klientu uz VPN serveri un starpniekserveri, novēršot vai samazinot nepieciešamību pēc lietotāja ievadiem akreditācijas datiem.

VPN starpniekservera konfigurācija iOS

IOS VPN starpniekservera konfigurācijā var veikt, norādot VPN savienojuma starpniekservera iestatījumus. Šo konfigurāciju var pārvaldīt manuāli vai automātiski:

- Manuāla starpniekservera iestatīšana prasa norādīt starpniekservera adresi, portu un visu nepieciešamo autentifikāciju.
-Automātisko starpniekservera konfigurāciju var iestatīt, izmantojot starpniekservera automātiskās konfigurācijas (PAC) failus vai izmantojot tīmekļa starpniekservera automātiskās atklāšanas protokolu (WPAD). Piemēram, PAC failus var mitināt virs HTTP un piegādāt ierīcei, izmantojot URL.

VPN starpniekservera konfigurācijas izmantošana nodrošina, ka starpniekserveris tiek piemērots visiem tīkla savienojumiem, ja VPN nodrošina noklusējuma maršrutu vai selektīvu resursdatoriem VPN DNS meklēšanas domēnos, ja VPN darbojas sadalīta tuneļa režīmā. Šī iestatīšana ir būtiska, lai autentificētu trafiku caur starpniekserveri kā daļu no VPN tuneļa.

Sertifikāta iestatīšana un validācija

Uz sertifikātu balstītas autentifikācijas ieviešanai nepieciešami šādi galvenie sertifikāta apsvērumi:

- VPN serverim ir jāuzrāda identitātes sertifikāts, kurā ir savs DNS nosaukums vai IP adrese laukā Subjekta alternatīvā nosaukuma (PhumpaltName), lai apstiprinātu servera autentiskumu klienta ierīcei.
- Šis sertifikāts jāparaksta ar sertifikātu iestādi (CA), kurai uzticas klienta ierīce.
- Klienta ierīcei jābūt instalētai CA sertifikātam, lai uzticētos servera sertifikātam.
- VPN serveris ir jākonfigurē, lai pieņemtu un apstiprinātu klienta sertifikātus. Šie sertifikāti jāizsniedz uzticamai CA, un serveris var izmantot laukus klienta sertifikātā, lai identificētu lietotāju grupas vai lomas.
- Sertifikātiem jābūt derīgiem, uzticamiem un bez derīguma termiņa beigām. Atšķirībā no dažiem protokoliem, serveris iOS VPN iestatījumos nesūta visu sertifikātu uzticības ķēdi, tāpēc ierīcei jau ir jābūt instalētai pilnīgai uzticības ķēdei.

Sertifikātu izvietošana iOS ierīcēs

iOS ierīces var efektīvi izmantot sertifikātu balstītu autentifikāciju, ja sertifikāti tiek pareizi izvietoti, bieži izmantojot mobilo ierīču pārvaldības (MDM) sistēmas, piemēram, Microsoft Intune. Izvietošanas galvenie soļi ir:

1. VPN servera saknes CA sertifikāta importēšana un uzticība ierīcei. Parasti tas ietver uzticama sertifikāta profila instalēšanu ierīcē.
2. Klienta autentifikācijas sertifikātu konfigurēšana un izvietošana. Tos var izstumt caur profiliem, kas atbalsta vai nu vienkāršu sertifikātu uzņemšanas protokolu (SCEP), vai publiskās atslēgas kriptogrāfijas standartu (PKC) sertifikātus.
3. VPN profilu piešķiršana, kas norāda sertifikāta autentifikāciju kā savienojuma metodi.
4. Sertifikātu nodrošināšana atbilstoši atzīmēt klienta autentifikāciju to galvenajos lietošanas laukos.

MDM rīki palīdz pārvaldīt šos sertifikātus, nodrošinot drošības politikas ievērošanu un samazinot pakļauto privāto atslēgu risku, automatizējot drošu izvietošanu. Neizmantojot MDM, sertifikātu manuāli instalēšana iOS ierīcēs bieži neizdodas uz sertifikātu balstītu VPN autentifikāciju, jo sistēma ierobežo VPN klienta lietotnes brīvi piekļūt manuāli instalētiem sertifikātiem.

Per-APP VPN un sertifikāta autentifikācija

Apple atbalsta VPN VPN konfigurācijas, kas ļauj VPN savienojamību izmantot atsevišķām lietotnēm, nevis sistēmai. Iestatot Per lietotni VPN ar sertifikāta autentifikāciju:

- Jāizveido un jānospiež uzticams saknes sertifikāta profils.
- Sertifikāta profils (SCEP vai PKC), kas piegādā klienta sertifikātu, ir konfigurēts un piešķirts.
- Tiek izveidots VPN profils, norādot klienta sertifikātu kā autentifikācijas metodi.
- VPN tiek piešķirts ierīču grupām, lai iespējotu PERP VPN atļauju.

Tas saglabā uz sertifikātu balstītu autentifikācijas drošību, vienlaikus ļaujot administratoriem ierobežot VPN izmantošanu konkrētām uzņēmuma lietojumprogrammām, kas ir īpaši noderīgas korporatīvajā vidē.

Tehniskā ieviešana pielāgotajās iOS VPN lietotnēs

Izstrādātājiem, kas izveido pielāgotu iOS VPN lietotni, kurā tiek izmantota uz sertifikātu balstīta starpniekservera autentifikācija, ir svarīgi šādi komponenti un API:

- Lai konfigurētu un pārvaldītu VPN savienojumus, izmantojiet Networkextension Framework.
- Konfigurējiet NevpnManager vai NetunnelProvider, lai norādītu VPN savienojuma parametrus.
- droši ielādējiet klienta sertifikātus lietotnes atslēgu piekariņā. Šiem sertifikātiem jābūt pieejamiem ar VPN savienojuma profilu.
- Iestatiet TLS autentifikāciju gan VPN tunelim, gan jebkuram starpniekserveri, atsaucoties uz klienta sertifikātu un validējot servera sertifikātu.
- Programmatiski apstrādājiet starpniekservera iestatījumus, norādot starpniekservera adresi un portu kā daļu no VPN konfigurācijas, potenciāli atbalstot PAC failus.
- Ievietojiet sertifikāta validācijas loģiku kā daļu no VPN savienojuma dzīves cikla, lai pārliecinātos, ka sertifikāti ir aktuāli un atbilst paredzamajām identitātēm.
- Nodrošiniet sertifikātu atjaunošanas vai atkārtotas reģistrācijas mehānismus, izmantojot drošu protokolu, piemēram, SCEP, kad sertifikātu termiņš beidzas.

Izstrādātājiem jāapsver arī Apple prasības un ierobežojumi sertifikātu piekļuvei un VPN konfigurācijai iOS. Piemēram, lietotnei ir jābūt atbilstošām tiesībām, un lietotājiem, iespējams, būs jāpieņem profilu vai sertifikātu uzstādīšana manuāli, ja vien to nav pārvaldīts, izmantojot MDM.

izaicinājumi un apsvērumi

- iOS ierobežo VPN lietotnes no klientu sertifikātu izmantošanas ārpus profiliem, kas pārvaldīti caur MDM, pieprasot uzņēmuma izvietošanas stratēģijas.
- Klientu sertifikātu manuāla uzstādīšana bieži noved pie savienojamības problēmām, kas saistītas ar iOS smilšu boksu un sertifikātu piekļuves ierobežojumiem.
- VPN serverim jābūt pareizi konfigurētam, lai apstrādātu klienta sertifikāta validāciju un nodrošinātu sertifikāta atribūtu saskaņošanu lietotāja atļaujām.
- starpniekservera konfigurācijai virs VPN jābūt savietojamai ar VPN tunelēšanas un maršrutēšanas mehānismiem; Sadalītā tunelēšanai var būt nepieciešama papildu starpniekservera konfigurācija.
- Kopējā drošība ir atkarīga no rūpīgas sertifikāta dzīves cikla pārvaldības, ieskaitot emisiju, atjaunošanu un atsaukšanu.

kopsavilkums

Uz sertifikātu balstītas starpniekservera autentifikācijas ieviešana iOS VPN lietotnē ietver VPN konfigurēšanu, lai izmantotu starpniekservera iestatījumus (vai nu manuālus, vai balstītos uz PAC), uzticamu CA un klienta sertifikātu izvietošanu, izmantojot MDM risinājumus, un sertifikāta autentifikācijas norādīšanu VPN profilos. Izstrādei ir nepieciešams piesaistīt Apple tīklības struktūras ietvaru, lai konfigurētu VPN savienojumus, izmantojot sertifikātus, kas droši saglabāti atslēgu piekaramā, nodrošinot TLS autentifikāciju gan VPN, gan starpniekservera līmenī. Sakarā ar iOS sistēmas ierobežojumiem sertifikātu izvietošana un pārvaldība parasti tiek apstrādāta, izmantojot uzņēmuma MDM rīkus, lai nodrošinātu nemanāmu un drošu autentifikācijas pieredzi.

Šī arhitektūra nodrošina spēcīgu autentifikāciju, izmantojot sertifikātus, uzlabo drošību, noņemot paroles atkarības, un atbalsta uzņēmuma scenārijus, piemēram, PerP VPN konfigurācijas, un tas viss atbilst iOS drošības un pārvaldības ietvariem.