Uwierzytelnianie proxy oparte na certyfikatach w aplikacji IOS VPN obejmuje kilka technicznych kroków skoncentrowanych na odpowiednim konfigurowaniu ustawień VPN i proxy przy jednoczesnym zapewnieniu, że certyfikaty są wdrażane i bezpiecznie zarządzane na urządzeniu iOS. Ta metoda zwiększa bezpieczeństwo za pomocą certyfikatów cyfrowych w celu uwierzytelnienia klienta na serwer VPN i serwera proxy, eliminując lub zmniejszając potrzebę poświadczeń związanych z użytkownikiem.
VPN Proxy Konfiguracja na iOS
W iOS konfiguracja proxy VPN można wykonać, określając ustawienia proxy dla połączenia VPN. Tę konfiguracji można zarządzać ręcznie lub automatycznie:
- Ręczna konfiguracja proxy wymaga określenia adresu proxy, portu i wszelkich potrzebnych uwierzytelniania.
-Automatyczna konfiguracja proxy można ustawić przy użyciu plików Auto-Configuration Proxy (PAC) lub za pomocą protokołu Auto-Discovery Web Proxy Auto-Discovery (WPAD). Na przykład pliki PAC mogą być hostowane przez HTTPS i dostarczane do urządzenia za pośrednictwem adresu URL.
Korzystanie z konfiguracji proxy VPN zapewnia zastosowanie proxy do wszystkich połączeń sieciowych, jeśli VPN zapewnia domyślną trasę lub selektywnie dla hostów w domenach wyszukiwania DNS VPN, jeśli VPN działa w trybie podzielonym tunelu. Ta konfiguracja ma kluczowe znaczenie dla kierowania uwierzytelnianiem ruchu za pośrednictwem proxy jako części tunelu VPN.
Konfiguracja certyfikatu i sprawdzanie poprawności
Wdrożenie uwierzytelniania opartego na certyfikatach wymaga następujących kluczowych rozważań certyfikatów:
- Serwer VPN musi przedstawić certyfikat tożsamości, który zawiera nazwę DNS lub adres IP w polu podmiotowej nazwy alternatywnej (nazwa podmiotów), aby potwierdzić autentyczność serwera na urządzenie klienta.
- Ten certyfikat musi zostać podpisany przez Urząd Świadectwa (CA) zaufany przez urządzenie klienckie.
- Urządzenie klienckie musi mieć zainstalowany certyfikat CA, aby zaufać certyfikatowi serwera.
- Serwer VPN musi zostać skonfigurowany do akceptowania i sprawdzania certyfikatów klienta. Certyfikaty te powinny być wydawane przez zaufane CA, a serwer może używać pola w certyfikcie klienta w celu identyfikacji grup użytkowników lub ról.
- Certyfikaty muszą być ważne, zaufane i nie wygasane. W przeciwieństwie do niektórych protokołów, serwer w konfiguracji VPN iOS nie wysyła całego łańcucha zaufania certyfikatów, więc urządzenie musi już zainstalować pełny łańcuch zaufania.
wdrażanie certyfikatów na urządzeniach iOS
Urządzenia iOS mogą skutecznie korzystać z uwierzytelniania opartego na certyfikatach, gdy certyfikaty są poprawnie wdrażane, często za pośrednictwem systemów zarządzania urządzeniami mobilnymi (MDM), takimi jak Microsoft Intune. Kluczowe kroki wdrożenia obejmują:
1. Importowanie i ufanie certyfikatu głównego CA Server VPN na urządzeniu. Zazwyczaj wymaga to instalacji zaufanego profilu certyfikatu na urządzeniu.
2. Konfigurowanie i wdrażanie certyfikatów uwierzytelniania klienta. Można je przekroczyć przez profile obsługujące certyfikaty dotyczące prostego certyfikatu rejestracji (SCEP) lub certyfikatów kryptograficznych kluczy kluczy (PKCS).
3. Przypisanie profili VPN, które określają uwierzytelnianie certyfikatu jako metodę łączenia.
4. Zapewnienie odpowiednio certyfikatów uwierzytelniania klienta w ich kluczowych polach użytkowania.
Narzędzia MDM pomagają zarządzać tymi certyfikatami, zapewniając zgodność z zasadami bezpieczeństwa i zmniejszając ryzyko narażania kluczy prywatnych poprzez automatyzację bezpiecznego wdrażania. Bez korzystania z MDM ręczne instalowanie certyfikatów na urządzeniach z iOS często zawodzi uwierzytelnianie VPN opartego na certyfikatach, ponieważ system ogranicza aplikacje klienckie VPN do swobodnego dostępu do ręcznie zainstalowanych certyfikatów.
Per-App VPN i uwierzytelnianie certyfikatu
Apple obsługuje konfiguracje VPN na aplikację, które umożliwiają rozstrzyganie łączności VPN z poszczególnymi aplikacjami, a nie systemem. Podczas konfigurowania VPN na aplikację z uwierzytelnianiem certyfikatu:
- Zaufany profil certyfikatu głównego musi zostać utworzony i zepchnięty do urządzenia.
- Profil certyfikatu (SCEP lub PKCS) dostarczający certyfikat klienta jest skonfigurowany i przypisany.
- Utworzony jest profil VPN określający certyfikat klienta jako metodę uwierzytelniania.
- VPN jest przypisywany do grup urządzeń, aby umożliwić autoryzację VPN na aplikację.
Zachowuje to bezpieczeństwo uwierzytelniania oparte na certyfikatach, jednocześnie umożliwiając administratorom ograniczenie korzystania z VPN do określonych aplikacji przedsiębiorstwa, co jest szczególnie przydatne w środowiskach korporacyjnych.
Wdrożenie techniczne w niestandardowych aplikacjach iOS VPN
Dla programistów budujących niestandardową aplikację na iOS VPN, która korzysta z uwierzytelniania proxy opartego na certyfikatach, istotne są następujące komponenty i interfejsy API:
- Użyj frameworka networkextension, aby konfigurować i zarządzać połączeniami VPN.
- Skonfiguruj NevpnManager lub NetUnnelprovider, aby określić parametry połączenia VPN.
- Załaduj certyfikaty klienta do kluczyka aplikacji bezpiecznie. Te certyfikaty muszą być dostępne przez profil połączenia VPN.
- Skonfiguruj uwierzytelnianie TLS zarówno dla tunelu VPN, jak i dowolnej komunikacji proxy, odwołując się do certyfikatu klienta i sprawdzanie certyfikatu serwera.
- Obsługuj ustawienia proxy programowo, określając adres serwera proxy i port w ramach konfiguracji VPN, potencjalnie obsługując pliki PAC.
- Wdrożyć logikę sprawdzania poprawności certyfikatu w ramach cyklu życia połączenia VPN, aby upewnić się, że certyfikaty są aktualne i pasują do oczekiwanych tożsamości.
- Zapewnij mechanizmy odnowienia certyfikatów lub ponownej rejestracji przy użyciu bezpiecznego protokołu, takiego jak SCEP, gdy certyfikaty wygasają.
Deweloperzy muszą również rozważyć wymagania i ograniczenia Apple dotyczące dostępu certyfikatów i konfiguracji VPN na iOS. Na przykład aplikacja musi mieć odpowiednie uprawnienia, a użytkownicy mogą wymagać ręcznego przyjęcia instalacji profili lub certyfikatów, chyba że zarząd za pośrednictwem MDM.
Wyzwania i rozważania
- iOS ogranicza aplikacje VPN korzystanie z certyfikatów klienta poza profilem zarządzanymi za pośrednictwem MDM, wymagające strategii wdrażania przedsiębiorstw.
- Ręczna instalacja certyfikatów klienta często prowadzi do problemów związanych z łącznością z powodu piaskownicy iOS i ograniczeń dostępu do certyfikatu.
- Serwer VPN musi być odpowiednio skonfigurowany do obsługi sprawdzania poprawności certyfikatu klienta i zapewnienia dopasowania atrybutów certyfikatów uprawnieniom użytkownika.
- Konfiguracja proxy przez VPN musi być kompatybilna z mechanizmami tunelowania i routingu VPN; Tunelowanie podzielone może wymagać dodatkowej konfiguracji proxy.
- Ogólne zabezpieczenia zależy od starannego zarządzania cyklem życia certyfikatów, w tym wydawania, odnowy i odwołania.
Streszczenie
Wdrożenie uwierzytelniania proxy opartego na certyfikatach w aplikacji IOS VPN polega na konfigurowaniu VPN do korzystania z ustawień proxy (opartych na PAC lub PAC), wdrażaniu zaufanych certyfikatów CA i klienta za pośrednictwem rozwiązań MDM oraz określenie uwierzytelniania certyfikatu w profilach VPN. Rozwój wymaga wykorzystania struktury sieci Apple Networkextension do konfigurowania połączeń VPN za pomocą certyfikatów przechowywanych bezpiecznie w broszuarce, zapewniając uwierzytelnianie TLS zarówno na poziomach VPN, jak i proxy. Ze względu na ograniczenia systemowe iOS wdrażanie certyfikatów i zarządzanie są zwykle obsługiwane za pośrednictwem narzędzi Enterprise MDM, aby umożliwić płynne i bezpieczne wrażenia uwierzytelniania.
Ta architektura zapewnia silne uwierzytelnianie za pomocą certyfikatów, poprawia bezpieczeństwo poprzez usunięcie zależności haseł i obsługuje scenariusze korporacyjne, takie jak konfiguracje VPN w PEPP, wszystkie zgodne z ramami bezpieczeństwa i zarządzania iOS.