Hogyan lehet végrehajtani a tanúsítvány alapú proxy-hitelesítést egy iOS VPN alkalmazásban

VPN proxy konfiguráció az iOS -on

Az iOS -ban a VPN proxy konfigurációja megtehető a VPN -kapcsolat proxy beállításainak meghatározásával. Ez a konfiguráció manuálisan vagy automatikusan kezelhető:

- A kézi proxy beállításához meg kell határozni a proxy címét, portját és bármilyen szükséges hitelesítését.
-Az automatikus proxy-konfiguráció beállítható Proxy Auto-Configuration (PAC) fájlokkal vagy Web Proxy Auto-Discovery Protocol (WPAD) használatával. Például a PAC fájlok HTTPS -en keresztül tárolhatók, és URL -en keresztül biztosíthatják az eszközt.

A VPN proxy -konfiguráció használata biztosítja, hogy a proxyt alkalmazzák az összes hálózati kapcsolatra, ha a VPN biztosítja az alapértelmezett útvonalat, vagy szelektíven a vpn DNS -keresési tartományon belüli gazdagépek számára, ha a VPN osztott alagút módban működik. Ez a beállítás elengedhetetlen a forgalom hitelesítéséhez a proxyon keresztül a VPN alagút részeként.

A tanúsítvány beállítása és érvényesítése

A tanúsítvány alapú hitelesítés végrehajtása a következő kulcs tanúsítvány szempontjából szükséges:

- A VPN szervernek olyan személyazonossági tanúsítványt kell bemutatnia, amely tartalmazza a DNS -nevét vagy IP -címét a tárgy alternatív nevében (TantAlTName) mezőben, hogy a kiszolgáló hitelességét az ügyfélkészülékre érvényesítse.
- Ezt a tanúsítványt az ügyfélkészülék által megbízott tanúsítványi hatóságnak (CA) kell aláírnia.
- Az ügyfélkészüléknek be kell telepítenie a CA tanúsítványt, hogy megbízhassa a szerver tanúsítványt.
- A VPN -kiszolgálót konfigurálni kell az ügyfél -tanúsítványok elfogadásához és validálásához. Ezeket a tanúsítványokat egy megbízható CA -nak kell kiadnia, és a szerver használhatja az ügyfél -tanúsítvány mezőket a felhasználói csoportok vagy szerepek azonosítására.
- A tanúsítványoknak érvényesnek, megbízhatónak és nem lejártnak kell lenniük. Egyes protokollokkal ellentétben az iOS VPN beállításaiban szereplő szerver nem küldi el a teljes tanúsítványi bizalmi láncot, tehát az eszköznek már telepítve kell a teljes vagyonkezelő láncot.

Tanúsítványok telepítése iOS eszközökön

Az iOS eszközök hatékonyan használhatják a tanúsítvány alapú hitelesítést, ha a tanúsítványokat megfelelően telepítik, gyakran mobil eszközkezelő (MDM) rendszereken, például a Microsoft Intune-n keresztül. A telepítés legfontosabb lépései a következők:

1. A VPN szerver gyökér CA tanúsítványának importálása és megbízása az eszközön. Ez általában egy megbízható tanúsítványprofil telepítését magában foglalja az eszközre.
2. Az ügyfél -hitelesítési tanúsítványok konfigurálása és telepítése. Ezek olyan profilokon keresztül nyomhatók, amelyek támogatják az egyszerű tanúsítvány -beiratkozási protokoll (SCEP) vagy a nyilvános kulcsfontosságú kriptográfiai szabványok (PKCS) tanúsítványokat.
3. VPN -profilok hozzárendelése, amelyek a tanúsítvány hitelesítését adják a csatlakoztatás módszerének.
4. A tanúsítványok megfelelő megjelölése az ügyfél -hitelesítéshez a kulcsfontosságú felhasználási mezőkben.

Az MDM eszközök segítenek kezelni ezeket a tanúsítványokat, biztosítva a biztonsági politikák betartását és csökkentik a kitett magánkulcsok kockázatát a biztonságos telepítés automatizálásával. Az MDM használata nélkül a tanúsítványok kézi telepítése iOS-eszközökön gyakran meghibásodik a tanúsítvány-alapú VPN-hitelesítés esetén, mivel a rendszer korlátozza a VPN kliens alkalmazásait a kézi telepített tanúsítványok szabad eléréséből.

Per-App VPN és tanúsítványi hitelesítés

Az Apple támogatja az alkalmazásonkénti VPN-konfigurációkat, amelyek lehetővé teszik a VPN csatlakoztathatóságát az egyes alkalmazásokhoz, nem pedig a rendszerre. A Per-alkalmazás VPN beállításán tanúsítvány hitelesítéssel:

- Meg kell hozni egy megbízható gyökér tanúsítványprofilt, és meg kell nyomni az eszközre.
- Az ügyfél -tanúsítványt szállító tanúsítványprofil (SCEP vagy PKC) konfigurálva van és hozzárendelve van.
- Létrehoz egy VPN -profil, amely az ügyfél -tanúsítványt hitelesítési módszerként határozza meg.
- A VPN-t az eszközcsoportokhoz rendelik, hogy lehetővé tegyék a PER-alkalmazás VPN engedélyezését.

Ez megőrzi a tanúsítvány alapú hitelesítési biztonságot, miközben lehetővé teszi a rendszergazdák számára, hogy korlátozzák a VPN használatát az egyes vállalati alkalmazásokra, ami különösen hasznos a vállalati környezetben.

Műszaki megvalósítás az egyedi iOS VPN alkalmazásokban

A fejlesztők számára, akik egy egyedi iOS VPN alkalmazást készítenek, amely tanúsítvány-alapú proxy-hitelesítést használ, a következő összetevők és API-k nélkülözhetetlenek:

- Használja a NetworkeXtension keretrendszert a VPN -kapcsolatok konfigurálásához és kezeléséhez.
- Konfigurálja a NevpnManager vagy a NetunnelProvider a VPN kapcsolat paramétereinek megadásához.
- Biztonságosan töltse be az ügyfél -tanúsítványokat az alkalmazás kulcstartójába. Ezeknek a tanúsítványoknak a VPN -kapcsolat profiljának hozzáférhetőnek kell lenniük.
- Állítsa be a TLS -hitelesítést mind a VPN alagúthoz, mind a proxy kommunikációhoz az ügyfél -tanúsítvány hivatkozásával és a szerver tanúsítvány validálásával.
- Kezelje a proxy beállításait programozottan, megadja a proxy szerver címét és a portot a VPN konfiguráció részeként, potenciálisan támogatva a PAC fájlokat.
- Végezze el a tanúsítvány validálási logikáját a VPN kapcsolat életciklusának részeként, hogy a tanúsítványok aktuálisak legyenek, és megfeleljenek a várt identitásoknak.
- Biztosítson mechanizmusokat a tanúsítvány megújításához vagy újratelepítéséhez olyan biztonságos protokoll segítségével, mint az SCEP, amikor a tanúsítványok lejárnak.

A fejlesztőknek figyelembe kell venniük az Apple követelményeit és korlátozásait is a tanúsítványhoz való hozzáférés és a VPN konfigurációjára az iOS -en. Például az alkalmazásnak megfelelő jogosultsággal kell rendelkeznie, és a felhasználóknak előfordulhat, hogy a profilok vagy tanúsítványok telepítését manuálisan kell elfogadniuk, kivéve, ha az MDM -en keresztül kezelik.

kihívások és megfontolások

- Az iOS korlátozza a VPN alkalmazásokat az ügyfél -tanúsítványok használatától az MDM által kezelt profilokon kívül, és vállalati telepítési stratégiákat igényel.
- Az ügyfél -tanúsítványok kézi telepítése gyakran csatlakozási problémákhoz vezet az iOS homokozó és a tanúsítványokhoz való hozzáférési korlátozások miatt.
- A VPN -kiszolgálót megfelelően konfigurálni kell az ügyfél -tanúsítvány validálásának kezelésére és a tanúsítvány attribútumok felhasználói engedélyekhez való illesztésére.
- A Proxy konfigurációnak a VPN feletti kompatibilisnek kell lennie a VPN alagút- és útválasztási mechanizmusaival; A megosztott alagúthoz további proxy -konfigurációt igényelhet.
- Az általános biztonság a gondos tanúsítvány életciklus -kezelésétől függ, ideértve a kibocsátást, a megújítást és a visszavonást.

Összegzés

A tanúsítvány-alapú proxy-hitelesítés bevezetése egy iOS VPN alkalmazásban magában foglalja a VPN konfigurálását a proxy beállítások (kézi vagy PAC-alapú) használatához, a megbízható CA és az ügyfél-tanúsítványok telepítése MDM megoldásokon keresztül, és a tanúsítvány hitelesítését a VPN profilokban. A fejlesztés megköveteli az Apple NetworkeXtension keretének kihasználását a VPN -kapcsolatok konfigurálásához a kulcstartóban tárolt tanúsítványok felhasználásával, biztosítva a TLS hitelesítését mind a VPN, mind a proxy szinten. Az iOS rendszer korlátozásai miatt a tanúsítványok telepítését és kezelését általában a vállalati MDM eszközökkel kezelik, hogy lehetővé tegyék a zökkenőmentes és biztonságos hitelesítési élményeket.