Аутентифікація проксі на основі сертифікатів у додатку VPN iOS включає кілька технічних кроків, зосереджених на налаштуванні налаштувань VPN та проксі-серверів, забезпечуючи, щоб сертифікати були надійно розгорнуті та керовані на пристрої iOS. Цей метод покращує безпеку за допомогою цифрових сертифікатів для аутентифікації клієнта до сервера VPN та проксі, усуваючи або зменшуючи потребу в облікових даних, що підтримують користувача.
конфігурація проксі -сервера VPN на iOS
В iOS конфігурація проксі -сервера VPN може бути здійснена, вказавши налаштування проксі -сервера для з'єднання VPN. Цим конфігурацією можна керувати вручну або автоматично:
- Налаштування ручного проксі -сервера вимагає вказівки адреси, порту та будь -яку необхідну автентифікацію проксі.
-Автоматична конфігурація проксі-сервера можна встановити за допомогою файлів Proxy Auto-Configuration (PAC) або за допомогою протоколу Auto-Discovery Web Proxy (WPAD). Наприклад, файли PAC можна розміщувати над HTTPS та надати пристрої через URL -адресу.
Використання конфігурації проксі VPN забезпечує, що проксі -сервер застосовується або для всіх мережевих з'єднань, якщо VPN забезпечує маршрут за замовчуванням, або вибірково для хостів у доменах пошуку DNS VPN, якщо VPN працює в режимі Split Tunnel. Ця установка має вирішальне значення для спрямування автентифікації трафіку через проксі як частину тунелю VPN.
Налаштування та перевірка сертифікатів
Реалізація аутентифікації на основі сертифікатів вимагає наступних ключових міркувань сертифікатів:
- Сервер VPN повинен представити сертифікат посвідчення особи, який містить його ім'я DNS або IP -адресу в поле альтернативного імені (суб'єкта, що стосується) для підтвердження справжності сервера на клієнтському пристрої.
- Цей сертифікат повинен бути підписаний органом сертифікатів (CA), яким довіряє клієнтський пристрій.
- Клієнтський пристрій повинен встановити сертифікат CA для довіри сертифіката сервера.
- Сервер VPN повинен бути налаштований для прийняття та перевірки сертифікатів клієнтів. Ці сертифікати повинні бути видані довіреною СА, і сервер може використовувати поля в клієнтському сертифікаті для ідентифікації груп користувачів або ролей.
- Сертифікати повинні бути дійсними, довіреними та не закінчилися. На відміну від деяких протоколів, сервер у налаштуваннях iOS VPN не надсилає всю ланцюжок довіри сертифікатів, тому пристрій вже повинен встановити повний ланцюг довіри.
Розгортання сертифікатів на пристроях iOS
Пристрої iOS можуть ефективно використовувати аутентифікацію на основі сертифікатів, коли сертифікати розгортаються належним чином, часто за допомогою систем управління мобільними пристроями (MDM), таких як Microsoft Intune. Ключові кроки для розгортання включають:
1. Імпорт та довіра сертифіката Root CA сервера VPN на пристрої. Зазвичай це передбачає встановлення надійного профілю сертифікатів на пристрої.
2. Налаштування та розгортання сертифікатів аутентифікації клієнта. Їх можна просунути через профілі, які підтримують або простий протокол зарахування сертифікатів (SCEP), або сертифікати криптографії відкритих ключів (PKCS).
3. Призначення профілів VPN, які визначають аутентифікацію сертифікатів як метод підключення.
4. Забезпечення належного позначення сертифікатів для аутентифікації клієнта у своїх ключових полях використання.
Інструменти MDM допомагають керувати цими сертифікатами, забезпечуючи дотримання політики безпеки та зменшення ризику відкритих приватних ключів шляхом автоматизації безпечного розгортання. Не використовуючи MDM, вручну встановлення сертифікатів на пристроях iOS часто не вдається для аутентифікації VPN на основі сертифікатів, оскільки система вільно обмежує клієнтські програми VPN.
per-App vpn та автентифікація сертифікатів
Apple підтримує конфігурації VPN PAP-додатка, які дозволяють підключити VPN до окремих додатків, а не на загальній системній. Під час налаштування VPN PER-додатка з автентифікацією сертифікатів:
- Довірений профіль сертифіката кореневого сертифіката повинен бути створений та висунутий до пристрою.
- Профіль сертифіката (SCEP або PKC), що постачає клієнтський сертифікат, налаштований та призначений.
- Створюється профіль VPN, що визначає сертифікат клієнта як метод аутентифікації.
- VPN присвоюється групам пристроїв для включення дозволу VPN PER-додатка.
Це зберігає безпеку аутентифікації на основі сертифікатів, дозволяючи адміністраторам обмежувати використання VPN для конкретних корпоративних додатків, що особливо корисно в корпоративних умовах.
Технічна реалізація в спеціальних програмах iOS VPN
Для розробників, які будують спеціальний додаток для iOS VPN, який використовує автентифікацію проксі-сертифікат, наступні компоненти та API є важливими:
- Використовуйте рамку мережі для налаштування та управління з'єднаннями VPN.
- Налаштуйте NevpnManager або NetUnnelProvider, щоб вказати параметри з'єднання VPN.
- Завантажте клієнтські сертифікати в кейсхейн додатка надійно. Ці сертифікати повинні бути доступними за профілем з'єднання VPN.
- Налаштуйте автентифікацію TLS як для тунелю VPN, так і для будь -яких проксі -комунікацій, посилаючись на клієнтський сертифікат та перевіривши сертифікат сервера.
- Програмно обробляти налаштування проксі -сервера, вказуючи адресу та порт проксі -сервера як частину конфігурації VPN, потенційно підтримуючими файлами PAC.
- Впровадити логіку перевірки сертифікатів як частину життєвого циклу з'єднання VPN, щоб переконатися, що сертифікати є поточними та відповідати очікуваній ідентичності.
- Надайте механізми поновлення сертифікатів або повторного зарахування за допомогою безпечного протоколу, як SCEP, коли термін дії сертифікатів закінчується.
Розробники також повинні враховувати вимоги та обмеження Apple щодо доступу до сертифікатів та конфігурації VPN на iOS. Наприклад, програма повинна мати належні права, і користувачам може знадобитися прийняти встановлення профілів або сертифікатів вручну, якщо не керуються через MDM.
виклики та міркування
- iOS обмежує програми VPN від використання клієнтських сертифікатів поза профілями, керованими через MDM, вимагаючи стратегій розгортання підприємств.
- Ручна установка клієнтських сертифікатів часто призводить до проблем підключення через обмеження доступу до пісочники та доступу до сертифікатів.
- Сервер VPN повинен бути належним чином налаштований для обробки перевірки сертифікатів клієнта та забезпечення відповідності атрибутів сертифікатів дозволам користувача.
- Конфігурація проксі -сервера над VPN повинна бути сумісною з механізмами тунелювання та маршрутизації VPN; Розділення тунелювання може знадобитися додаткова конфігурація проксі.
- Загальна безпека залежить від ретельного управління життєвим циклом сертифікатів, включаючи видачу, поновлення та скасування.
Резюме
Впровадження автентифікації проксі-сертифікатів у додатку VPN iOS передбачає налаштування VPN для використання налаштувань проксі (або вручну, або на основі ПАК), розгортання довірених сертифікатів КА та клієнтів за допомогою MDM Solutions та уточнення аутентифікації сертифікатів у профілях VPN. Розробка вимагає використання мережі Apple Networkextension для налаштування VPN -з'єднань за допомогою сертифікатів, що зберігаються надійно в кейсі, забезпечуючи аутентифікацію TLS як на рівні VPN, так і на проксі. Через обмеження системи iOS, розгортання та управління сертифікатами, як правило, обробляються за допомогою інструментів MDM Enterprise, щоб забезпечити безперебійний та безпечний досвід автентифікації.
Ця архітектура забезпечує сильну автентифікацію за допомогою сертифікатів, покращує безпеку, видаляючи залежності паролів та підтримує сценарії підприємств, такі як конфігурації VPN-програми SP-APP, що відповідають рамці безпеки та управління iOS.