Sertifikatų pagrįstas tarpinio serverio autentifikavimas „iOS VPN“ programoje apima keletą techninių veiksmų, kurių pagrindinis tikslas yra tinkamai konfigūruoti VPN ir tarpinio serverio parametrus, tuo pačiu užtikrinant, kad sertifikatai būtų saugiai naudojami ir valdomi „iOS“ įrenginyje. Šis metodas sustiprina saugumą, naudojant skaitmeninius sertifikatus, kad klientas būtų patvirtintas VPN serveriui ir įgaliojimą, pašalindamas arba sumažinant vartotojo įgaliojimo poreikį.
VPN tarpinio serverio konfigūracija „iOS“
„IOS“ VPN tarpinio serverio konfigūraciją galima atlikti nurodant VPN ryšio tarpinio serverio parametrus. Šią konfigūraciją galima valdyti rankiniu būdu arba automatiškai:
- Rankiniam tarpinio serverio sąrankai reikalaujama nurodyti tarpinio serverio adresą, prievadą ir bet kokį reikalingą autentifikavimą.
-Automatinę tarpinio serverio konfigūraciją galima nustatyti naudojant tarpinio serverio automatinio konfigūracijos (PAC) failus arba naudojant žiniatinklio tarpinio serverio automatinio atradimo protokolą (WPAD). Pavyzdžiui, PAC failus galima laikyti per HTTPS ir pateikiami įrenginiui per URL.
Naudojant VPN tarpinio serverio konfigūraciją, užtikrinama, kad tarpinis serveris būtų taikomas visoms tinklo jungtims, jei VPN teikia numatytąjį maršrutą arba selektyviai šeimininkams VPN DNS paieškos domenuose, jei VPN veikia padalinto tunelio režimu. Ši sąranka yra labai svarbi norint nukreipti srautą autentifikuojant per tarpinį serverį kaip VPN tunelio dalį.
sertifikato sąranka ir patvirtinimas
Įdiegus sertifikatus pagrįstą autentifikavimą, reikia šių pagrindinių sertifikatų aspektų:
- VPN serveris turi pateikti asmens tapatybės sertifikatą, kuriame yra jo DNS pavadinimas arba IP adresas alternatyvaus pavadinimo (subjektoTName) lauke, kad patvirtintų serverio autentiškumą kliento įrenginiui.
- Šį sertifikatą turi pasirašyti sertifikatų tarnyba (CA), kuria pasitiki kliento įrenginys.
- Kliento įrenginyje turi būti įdiegtas CA sertifikatas, kad pasitikėtų serverio sertifikatu.
- VPN serveris turi būti sukonfigūruotas priimti ir patvirtinti kliento sertifikatus. Šiuos sertifikatus turėtų išduoti patikima CA, o serveris gali naudoti laukus kliento sertifikate, kad nustatytų vartotojų grupes ar vaidmenis.
- Sertifikatai turi būti galioti, patikimi ir nesibaigti. Skirtingai nuo kai kurių protokolų, „iOS VPN“ sąrankų serveris nesiunčia visos sertifikatų patikos grandinės, todėl įrenginyje jau turi būti įdiegta visa patikos grandinė.
„iOS“ įrenginių sertifikatų diegimas
„iOS“ įrenginiai gali efektyviai naudoti sertifikatus pagrįstą autentifikavimą, kai sertifikatai yra tinkamai diegti, dažnai naudojant mobiliųjų įrenginių valdymo (MDM) sistemas, tokias kaip „Microsoft Intune“. Pagrindiniai diegimo veiksmai yra:
1. VPN serverio šaknies CA sertifikato importavimas ir pasitikėjimas įrenginyje. Paprastai tai apima patikimo sertifikato profilio įdiegimą įrenginyje.
2. Kliento autentifikavimo sertifikatų konfigūravimas ir diegimas. Juos galima išstumti per profilius, kurie palaiko paprastą sertifikatų registracijos protokolą (SCEP) arba viešojo rakto kriptografijos standartų (PKCS) sertifikatus.
3. VPN profilių priskyrimas, nurodantis sertifikato autentifikavimą kaip prijungimo metodą.
4. Sertifikatų užtikrinimas yra tinkamai pažymėtas kliento autentifikavimui jų pagrindiniuose naudojimo laukuose.
MDM įrankiai padeda valdyti šiuos sertifikatus, užtikrinant saugumo politikos laikymąsi ir mažinant atskleistų privačių raktų riziką, automatizuodami saugų diegimą. Nenaudodamas MDM, rankiniu būdu įdiegti sertifikatus „iOS“ įrenginiuose dažnai nepavyksta dėl sertifikatų pagrįsto VPN autentifikavimo, nes sistema riboja VPN klientų programas, kad ji laisvai prieigos prie rankiniu būdu įdiegtų sertifikatų.
„Per-App“ VPN ir sertifikato autentifikavimas
„Apple“ palaiko VPN konfigūracijas, leidžiančias VPN ryšį pritaikyti prie atskirų programų, o ne visos sistemos. Nustatant VPN su sertifikato autentifikavimu:
- Turi būti sukurtas patikimas šaknies sertifikato profilis ir nustumtas į įrenginį.
- Sertifikato profilis (SCEP arba PKCS), pateikiantis kliento sertifikatą, yra sukonfigūruotas ir priskiriamas.
- Sukuriamas VPN profilis, nurodantis kliento sertifikatą kaip autentifikavimo metodą.
- VPN priskiriamas įrenginių grupėms, kad būtų galima įgyti VPN leidimą vienam APP.
Tai išsaugo sertifikatus pagrįstą autentifikavimo saugumą, tuo pačiu leidžia administratoriams apriboti VPN naudojimą konkrečioms įmonės programoms, kurios yra ypač naudingos įmonių aplinkoje.
Techninis įgyvendinimas pasirinktiniuose „iOS VPN“ programose
Kūrėjams, kuriantiems pritaikytą „iOS VPN“ programą, kuri naudoja sertifikatus pagrįstą tarpinio serverio autentifikavimą, šie komponentai ir API yra būtini:
- Norėdami sukonfigūruoti ir valdyti VPN ryšius, naudokite „NetworkeStension“ sistemą.
- Konfigūruokite „NevPNManager“ arba „NettunnelProvider“, kad nurodytumėte VPN ryšio parametrus.
- Saugiai įkelkite kliento sertifikatus į programos raktų pakabuką. Šiuos sertifikatus turi pasiekti VPN ryšio profilis.
- Nustatykite TLS autentifikavimą tiek VPN tuneliui, tiek bet kokiems tarpinio serverio ryšiams, nurodydami kliento sertifikatą ir patvirtindami serverio sertifikatą.
- programiškai tvarkykite tarpinio serverio nustatymus, nurodydami tarpinio serverio adresą ir prievadą kaip VPN konfigūracijos dalį, potencialiai palaikydami PAC failus.
- Įdiekite sertifikatų patvirtinimo logiką kaip VPN ryšio gyvavimo ciklo dalį, kad įsitikintumėte, jog sertifikatai yra dabartiniai ir suderinti numatomas tapatybes.
- Pateikite sertifikatų atnaujinimo arba atnaujinimo mechanizmus, naudodamiesi saugiu protokolu, pavyzdžiui, SCEP, kai baigiasi sertifikatai.
Kūrėjai taip pat turi atsižvelgti į „Apple“ reikalavimus ir prieigos prie sertifikavimo bei VPN konfigūracijos apribojimus „iOS“. Pvz., Programa turi turėti tinkamų teisių, o vartotojams gali tekti priimti profilių ar sertifikatų diegimą rankiniu būdu, nebent tai būtų valdoma per MDM.
iššūkiai ir svarstymai
- „iOS“ riboja VPN programas nuo kliento sertifikatų, esančių ne profiliuose, valdomuose per MDM, reikalauja įmonės diegimo strategijų.
- Rankiniu būdu įdiegus kliento sertifikatus, dažnai sukelia ryšio problemas dėl „iOS“ smėlio dėžės ir sertifikatų prieigos apribojimų.
- VPN serveris turi būti tinkamai sukonfigūruotas tvarkyti kliento sertifikatų patvirtinimą ir užtikrinti sertifikatų atributų suderinimą su vartotojo leidimais.
- Tarpinio serverio konfigūracija per VPN turi būti suderinama su VPN tuneliavimo ir maršruto nustatymo mechanizmais; Padalijimo tuneliui gali prireikti papildomos tarpinio serverio konfigūracijos.
- Bendras saugumas priklauso nuo kruopštaus sertifikato gyvenimo ciklo valdymo, įskaitant išdavimą, atnaujinimą ir atšaukimą.
Santrauka
Įdiegus sertifikatus pagrįstą tarpinio serverio autentifikavimą „iOS VPN“ programoje, apima VPN konfigūravimą, kad būtų galima naudoti tarpinio serverio parametrus (rankinius arba PAC pagrįstus), patikimų CA ir kliento sertifikatų diegimą per MDM sprendimus ir nurodant sertifikato autentifikavimą VPN profiliuose. Plėtrai reikalauja, kad „Apple“ tinklo tinklo sistema būtų sukonfigūruojama VPN ryšiui, naudojant sertifikatus, saugomus klavišų grandinėje, užtikrinant TLS autentifikavimą tiek VPN, tiek tarpinio serverio lygiuose. Dėl „iOS“ sistemos apribojimų sertifikatų diegimas ir valdymas paprastai tvarkomi naudojant „Enterprise MDM“ įrankius, kad būtų galima vientisa ir užtikrinti autentifikavimo patirtį.
Ši architektūra užtikrina stiprų autentifikavimą naudojant sertifikatus, pagerina saugumą, pašalindama slaptažodžio priklausomybes ir palaiko įmonės scenarijus, tokius kaip VPN konfigūracijos, kurios atitinka „iOS“ saugumo ir valdymo sistemas.