การรับรองความถูกต้องของพร็อกซีตามใบรับรองในแอพ iOS VPN นั้นเกี่ยวข้องกับขั้นตอนทางเทคนิคหลายอย่างที่เน้นการกำหนดค่า VPN และพร็อกซีอย่างเหมาะสมในขณะที่มั่นใจว่าใบรับรองจะถูกปรับใช้และจัดการอย่างปลอดภัยบนอุปกรณ์ iOS วิธีนี้ช่วยเพิ่มความปลอดภัยโดยใช้ใบรับรองดิจิตอลเพื่อตรวจสอบสิทธิ์ไคลเอนต์ไปยังเซิร์ฟเวอร์ VPN และพร็อกซีกำจัดหรือลดความจำเป็นในการรับรองผู้ใช้
VPN พร็อกซีการกำหนดค่าบน iOS
ใน iOS การกำหนดค่าพร็อกซี VPN สามารถทำได้โดยการระบุการตั้งค่าพร็อกซีสำหรับการเชื่อมต่อ VPN การกำหนดค่านี้สามารถจัดการได้ด้วยตนเองหรือโดยอัตโนมัติ:
- การตั้งค่าพร็อกซีด้วยตนเองต้องระบุที่อยู่พอร์ตพอร์ตและการตรวจสอบความถูกต้องที่จำเป็น
-การกำหนดค่าพร็อกซีอัตโนมัติสามารถตั้งค่าได้โดยใช้ไฟล์พร็อกซีการกำหนดค่าอัตโนมัติ (PAC) หรือโดยใช้ Web Proxy Auto-Discovery Protocol (WPAD) ตัวอย่างเช่นไฟล์ PAC สามารถโฮสต์ผ่าน HTTPS และให้กับอุปกรณ์ผ่าน URL
การใช้การกำหนดค่าพร็อกซี VPN ช่วยให้มั่นใจได้ว่าพร็อกซีจะถูกนำไปใช้กับการเชื่อมต่อเครือข่ายทั้งหมดหาก VPN ให้เส้นทางเริ่มต้นหรือเลือกโฮสต์ภายในโดเมนการค้นหา DNS ของ VPN หาก VPN ทำงานในโหมดแยก การตั้งค่านี้มีความสำคัญสำหรับการกำกับการรับรู้การรับส่งข้อมูลผ่านพร็อกซีซึ่งเป็นส่วนหนึ่งของอุโมงค์ VPN
การตั้งค่าและการตรวจสอบใบรับรอง
การใช้การรับรองความถูกต้องตามใบรับรองต้องมีการพิจารณาใบรับรองคีย์ดังต่อไปนี้:
- เซิร์ฟเวอร์ VPN จะต้องแสดงใบรับรองข้อมูลประจำตัวที่มีชื่อ DNS หรือที่อยู่ IP ในฟิลด์ชื่อเรื่อง (หัวเรื่อง) ชื่อเพื่อตรวจสอบความถูกต้องของเซิร์ฟเวอร์ไปยังอุปกรณ์ไคลเอนต์
- ใบรับรองนี้จะต้องลงนามโดยหน่วยงานใบรับรอง (CA) ที่เชื่อถือได้จากอุปกรณ์ลูกค้า
- อุปกรณ์ไคลเอนต์ต้องติดตั้งใบรับรอง CA เพื่อเชื่อถือใบรับรองเซิร์ฟเวอร์
- เซิร์ฟเวอร์ VPN จำเป็นต้องกำหนดค่าให้ยอมรับและตรวจสอบใบรับรองไคลเอนต์ ใบรับรองเหล่านี้ควรออกโดย CA ที่เชื่อถือได้และเซิร์ฟเวอร์สามารถใช้ฟิลด์ในใบรับรองไคลเอนต์เพื่อระบุกลุ่มผู้ใช้หรือบทบาท
- ใบรับรองจะต้องถูกต้องเชื่อถือได้และไม่หมดอายุ ซึ่งแตกต่างจากโปรโตคอลบางอย่างเซิร์ฟเวอร์ในการตั้งค่า iOS VPN ไม่ได้ส่งห่วงโซ่ความน่าเชื่อถือของใบรับรองทั้งหมดดังนั้นอุปกรณ์จะต้องติดตั้งห่วงโซ่ความน่าเชื่อถือเต็มแล้ว
การปรับใช้ใบรับรองบนอุปกรณ์ iOS
อุปกรณ์ iOS สามารถใช้การรับรองความถูกต้องตามใบรับรองได้อย่างมีประสิทธิภาพเมื่อมีการปรับใช้ใบรับรองอย่างถูกต้องบ่อยครั้งผ่านระบบการจัดการอุปกรณ์มือถือ (MDM) เช่น Microsoft Intune ขั้นตอนสำคัญสำหรับการปรับใช้รวมถึง:
1. การนำเข้าและเชื่อถือใบรับรองรูท CA ของ VPN Server บนอุปกรณ์ โดยทั่วไปจะเกี่ยวข้องกับการติดตั้งโปรไฟล์ใบรับรองที่เชื่อถือได้บนอุปกรณ์
2. การกำหนดค่าและการปรับใช้ใบรับรองการรับรองความถูกต้องของไคลเอนต์ สิ่งเหล่านี้สามารถผลักดันผ่านโปรไฟล์ที่รองรับโปรโตคอลการลงทะเบียนใบรับรองง่าย ๆ (SCEP) หรือมาตรฐานการเข้ารหัสกุญแจสาธารณะ (PKCS)
3. การกำหนดโปรไฟล์ VPN ที่ระบุการรับรองความถูกต้องของใบรับรองเป็นวิธีการเชื่อมต่อ
4. การรับรองใบรับรองจะถูกตั้งค่าสถานะอย่างเหมาะสมสำหรับการตรวจสอบสิทธิ์ของลูกค้าในฟิลด์การใช้งานหลักของพวกเขา
เครื่องมือ MDM ช่วยจัดการใบรับรองเหล่านี้เพื่อให้มั่นใจว่าปฏิบัติตามนโยบายความปลอดภัยและลดความเสี่ยงของคีย์ส่วนตัวที่เปิดเผยโดยการปรับใช้อย่างปลอดภัยโดยอัตโนมัติ โดยไม่ต้องใช้ MDM การติดตั้งใบรับรองด้วยตนเองบนอุปกรณ์ iOS มักจะล้มเหลวสำหรับการรับรองความถูกต้อง VPN ที่ใช้ใบรับรองเนื่องจากระบบ จำกัด แอพไคลเอนต์ VPN จากการเข้าถึงใบรับรองที่ติดตั้งด้วยตนเองอย่างอิสระ
ต่อแอป VPN และการรับรองความถูกต้องของใบรับรอง
Apple รองรับการกำหนดค่า VPN ต่อแอปที่อนุญาตให้การเชื่อมต่อ VPN ได้รับการกำหนดขอบเขตให้กับแอพแต่ละตัวแทนที่จะเป็นระบบทั่วทั้งระบบ เมื่อตั้งค่าต่อแอป VPN พร้อมการรับรองความถูกต้องของใบรับรอง:
- โปรไฟล์ใบรับรองรูทที่เชื่อถือได้จะต้องสร้างและผลักไปยังอุปกรณ์
- โปรไฟล์ใบรับรอง (SCEP หรือ PKCs) ที่ให้ใบรับรองไคลเอนต์ได้รับการกำหนดค่าและกำหนด
- โปรไฟล์ VPN ถูกสร้างขึ้นเพื่อระบุใบรับรองไคลเอนต์เป็นวิธีการตรวจสอบความถูกต้อง
- VPN ถูกกำหนดให้กับกลุ่มอุปกรณ์เพื่อเปิดใช้งานการอนุมัติ VPN ต่อแอป
สิ่งนี้รักษาความปลอดภัยการตรวจสอบความถูกต้องตามใบรับรองในขณะที่อนุญาตให้ผู้ดูแลระบบ จำกัด การใช้ VPN ไปยังแอปพลิเคชันเฉพาะขององค์กรซึ่งมีประโยชน์อย่างยิ่งในสภาพแวดล้อมขององค์กร
การใช้งานด้านเทคนิคในแอพ iOS VPN แบบกำหนดเอง
สำหรับนักพัฒนาที่สร้างแอพ iOS VPN แบบกำหนดเองที่ใช้การรับรองความถูกต้องของพร็อกซีตามใบรับรองส่วนประกอบและ APIs ต่อไปนี้เป็นสิ่งจำเป็น:
- ใช้เฟรมเวิร์ก NetWorkextension เพื่อกำหนดค่าและจัดการการเชื่อมต่อ VPN
- กำหนดค่า NEVPNManager หรือ NetUnnelProvider เพื่อระบุพารามิเตอร์การเชื่อมต่อ VPN
- โหลดใบรับรองไคลเอนต์ลงในพวงกุญแจของแอปอย่างปลอดภัย ใบรับรองเหล่านี้จะต้องสามารถเข้าถึงได้โดยโปรไฟล์การเชื่อมต่อ VPN
- ตั้งค่าการรับรองความถูกต้อง TLS สำหรับทั้งอุโมงค์ VPN และการสื่อสารพร็อกซีใด ๆ โดยอ้างอิงใบรับรองไคลเอนต์และตรวจสอบความถูกต้องของใบรับรองเซิร์ฟเวอร์
- จัดการการตั้งค่าพร็อกซีโดยทางโปรแกรมโดยระบุที่อยู่พร็อกซีเซิร์ฟเวอร์และพอร์ตซึ่งเป็นส่วนหนึ่งของการกำหนดค่า VPN ซึ่งอาจรองรับไฟล์ PAC
- ใช้ตรรกะการตรวจสอบใบรับรองเป็นส่วนหนึ่งของวงจรชีวิตการเชื่อมต่อ VPN เพื่อให้แน่ใจว่าใบรับรองเป็นปัจจุบันและตรงกับตัวตนที่คาดหวัง
- ให้กลไกสำหรับการต่ออายุใบรับรองหรือการลงทะเบียนใหม่โดยใช้โปรโตคอลที่ปลอดภัยเช่น SCEP เมื่อใบรับรองหมดอายุ
นักพัฒนาต้องพิจารณาข้อกำหนดและข้อ จำกัด ของ Apple เกี่ยวกับการเข้าถึงใบรับรองและการกำหนดค่า VPN บน iOS ตัวอย่างเช่นแอปจะต้องมีสิทธิ์ที่เหมาะสมและผู้ใช้อาจต้องยอมรับการติดตั้งโปรไฟล์หรือใบรับรองด้วยตนเองเว้นแต่จะได้รับการจัดการผ่าน MDM
ความท้าทายและการพิจารณา
- iOS จำกัด แอพ VPN จากการใช้ใบรับรองไคลเอนต์นอกโปรไฟล์ที่จัดการผ่าน MDM ซึ่งต้องใช้กลยุทธ์การปรับใช้ระดับองค์กร
- การติดตั้งด้วยตนเองของใบรับรองไคลเอนต์มักจะนำไปสู่ปัญหาการเชื่อมต่อเนื่องจาก iOS sandboxing และข้อ จำกัด การเข้าถึงใบรับรอง
- เซิร์ฟเวอร์ VPN จะต้องได้รับการกำหนดค่าอย่างถูกต้องเพื่อจัดการการตรวจสอบใบรับรองไคลเอนต์และตรวจสอบให้แน่ใจว่าการจับคู่แอตทริบิวต์ใบรับรองกับสิทธิ์ของผู้ใช้
- การกำหนดค่าพร็อกซีมากกว่า VPN จะต้องเข้ากันได้กับกลไกการตั้งเส้นทางและการกำหนดเส้นทางของ VPN การแยกอุโมงค์อาจต้องใช้การกำหนดค่าพร็อกซีเพิ่มเติม
- ความปลอดภัยโดยรวมขึ้นอยู่กับการจัดการวงจรชีวิตใบรับรองอย่างระมัดระวังรวมถึงการออกการต่ออายุและการเพิกถอน
สรุป
การใช้การรับรองความถูกต้องของพร็อกซีตามใบรับรองในแอพ iOS VPN เกี่ยวข้องกับการกำหนดค่า VPN เพื่อใช้การตั้งค่าพร็อกซี (ไม่ว่าจะเป็นด้วยตนเองหรือ PAC) การปรับใช้ CA ที่เชื่อถือได้และใบรับรองไคลเอนต์ผ่านโซลูชัน MDM และการระบุการรับรองความถูกต้องของใบรับรองในโปรไฟล์ VPN การพัฒนาต้องการการใช้ประโยชน์จากเฟรมเวิร์ก NetWorkextension ของ Apple เพื่อกำหนดค่าการเชื่อมต่อ VPN โดยใช้ใบรับรองที่เก็บไว้อย่างปลอดภัยในพวงกุญแจเพื่อให้มั่นใจว่าการตรวจสอบ TLS ทั้งในระดับ VPN และพร็อกซี เนื่องจากข้อ จำกัด ของระบบ iOS การปรับใช้ใบรับรองและการจัดการมักจะได้รับการจัดการผ่านเครื่องมือ MDM ขององค์กรเพื่อให้ได้รับประสบการณ์การรับรองความถูกต้องที่ราบรื่นและปลอดภัย
สถาปัตยกรรมนี้ช่วยให้มั่นใจได้ว่าการตรวจสอบความถูกต้องที่แข็งแกร่งโดยใช้ใบรับรองปรับปรุงความปลอดภัยโดยการลบการพึ่งพารหัสผ่านและรองรับสถานการณ์ขององค์กรเช่นการกำหนดค่า VPN ต่อแอปต่อแอป