- Настраиваем IPSec VPN сервер через strongSwan и On-Demand на iOS
- Начало пути
- Первая кровь
- Сертификаты
- Приступим
- Установка сертификатов на iOS
- Импорт персонального сертификата на iOS
- Как добавить сертификат .crt в связку ключей iPhone?
- Как установить цифровые сертификаты на iPhone или iPad
- Что нужно знать о цифровом сертификате
- Что такое цифровой сертификат
- Основное использование на ваших устройствах
- Установка цифрового сертификата
- Запросить сертификат на компьютере
- Перенесите его на свое устройство
- Выполните установку
- Использовать установленный цифровой сертификат
Настраиваем IPSec VPN сервер через strongSwan и On-Demand на iOS
Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad’ов. Я не смог придумать ничего умнее как использовать IPSexc и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.
Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.
Начало пути
Первая кровь
Как выяснилось, RSA-авторизация в strongSwan сделана через xauth. И этот самый xauth, помимо сертификата, обязательно требует ещё и логин с пароль. Вот такая у них реализация. У strongSwan есть вполне сносное описание как поднять IPSec VPN для работы с iOS. Но проблема здесь как раз в запросе пароля. Поэтому этот вариант нам не подходит.
Но не всё так плохо! Нас спасёт Tobias Brunner и его коммит! Как раз без этого коммита у нас ничего бы и не получилось. Спасибо ему огромное. Этот код представляет собой плагин к xauth, который не требует дополнительной аутентификации пользовательского логина и пароль. Т.е. происходит только RSA-аутентификация по ключам. Что нам и нужно было!
Сертификаты
Не буду рассказывать про то как сгенерировать ключи. Это очень подробно описано в туториале от strongSwan. Я лишь хочу обратить внимание на несколько важных моментов туториала:
- Значение поля common name (CN) сертификата должно в точности воспадать с ip или доменным именем VPN сервера. В случае Amazon EC2 это будет что-то вроде «ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com».
- При установке сертификатов на iPad нужно не забыть кроме клиентского PKCS#12 (*.p12) установить ещё и корневой. В туториале она называется caCert.pem.
Приступим
Перед установкой рекомендуется прочитать и внять рекомендациям по «хакингу». А точнее по сборке пакета из репозитория.
После установки всех необходимых библиотек и тулзов перейдём к сборке:
- Выкачаем branch с тем самым волшебным плагином: git clone git://git.strongswan.org/strongswan.git xauth-noauth strongswan-git-xauth-noauth/
- Создадим скрипты конфигурации: ./autogen.sh
- Сконфигурируем: ./configure —prefix=/usr —sysconfdir=/etc —enable-xauth-noauth
- Соберём пакет: sudo checkinstall -D —install=no
- И, наконец, установим его: dpkg -i strongswan-git-xauth_5.0.3-xauth-noauth-1_amd64.deb
Не забудьте открывать на firewall’е 500 и 4500 UDP порты, т.к. через них работает IPSec.
Разрешим проброску пакетов через NAT:
Наконец мы можем приступить к конфигурации.
/etc/ipsec.conf
/etc/ipsec.secrets
/etc/strongswan.conf
Init.d скрипт слишком длинный. Его можно будет забрать здесь.
Установка сертификатов на iOS
Установить сертификаты (clientCert.p12 и caCert.pem) можно несколькоми способами:
- Используя iPhone Configuration Utility
- Отправив сертификаты себе по почте. И дальше получить из на iPad.
- Скачав их с помощью Safari прямо на самом устройстве.
Лично я советую использовать iPhone Configuration Utility, т.к. только там можно задать домены для которых должен быть On-Demand VPN.
Вопросы, комментарии, критика приветствуется.
Спасибо за внимание.
Источник
Импорт персонального сертификата на iOS
Для того чтобы установить персональный сертификат WM Keeper WebPro (Light) с закрытым ключом в хранилище устройства под управлением iOS необходимо выполнить следующие действия:
1 Отправьте файл сертификата в формате *.pfx или *.p12 на свой e-mail.
2 C мобильного устройства зайдите в свой электронный почтовый ящик, откройте письмо с отправленным персональным сертификатом и кликните на кнопку «Скачать»
Далее нажмите кнопку «Разрешить»
3 Откроется диалог «Установка профиля». Нажмите кнопку «Установить».
4 Если устройство защищено паролем, то необходимо ввести его. Внимание, этот пароль — от устройства, а не от сертификата.
5 Нажмите кнопку «Установить».
6 Затем введите пароль от сертификата, который был установлен при экспорте сертификата. Внимание, этот пароль — от сертификата, не от устройства.
7 В случае ввода верного пароля сертификат установится на ваше устройство.
Источник
Как добавить сертификат .crt в связку ключей iPhone?
Я переместил .crt файл сертификата на устройство iPhone через Dropbox и попытался выполнить следующие инструкции, чтобы добавить его в связку ключей устройства:
Он предлагает открыть файл сертификата, но мой iPhone не знает, чем открыть .crt?
Как мне перейти отсюда, чтобы добавить сертификат в мою связку ключей?
Обновлено для iOS 12.0.1
Как упоминали Эндрю и Михал , очевидно, что iOS позволяет только приложениям Mail и Safari открывать и устанавливать сертификаты. Другие приложения заблокированы от открытия сертификатов.
Вот как я начал работать:
- Временно поместите мой файл сертификата (mycertificate.crt) на мой частный локальный сервер.
- Используя iOS Safari (очень важно), перейдите на мой https: //mylocalsite.test/mycertificate.crt
- Вероятно, вы увидите предупреждение «Это соединение не является частным» и вам нужно нажать «Показать подробности»> «Посетить этот сайт».
- При появлении запроса «Этот веб-сайт пытается открыть Настройки, чтобы показать вам профиль конфигурации. Вы хотите разрешить это? [Игнорировать или Разрешить?]», Выберите «Разрешить».
- Теперь вы будете в настройках iPhone> Установить профиль. Нажмите «Установить», чтобы установить сертификат.
- Введите свой пароль для подтверждения.
- Вы увидите предупреждение: «Этот сертификат не будет доверенным для веб-сайтов, пока вы не включите его в настройках доверия сертификатам». Нажмите «Установить», чтобы продолжить.
- Нажмите «Готово».
- Выберите «Настройки»> «Основные»> «О программе»> « Настройки доверия сертификатам».
- «Включить полное доверие для корневых сертификатов» для вновь установленного сертификата.
- (Кажется, перезагружать телефон не нужно.) Я сразу же смог использовать Chrome для перехода на свой сайт с помощью https, и это сработало, как я и надеялся.
Эти другие ссылки помогли мне тоже:
Скопировано с сайта, на который вы ссылаетесь
Если вы хотите использовать свой сертификат для S / MIME после того, как вы следовали этому руководству, посетите https://support.quovadisglobal.com/KB/a353/how-do-i-sign-and-encrypt-on-an- apple-iphone.aspx . Важное примечание. Apple рекомендует отправлять файл * .p12 или * .pfx на ваше устройство в виде вложения в электронное письмо. QuoVadis не рекомендует такой подход, если доступ к электронной почте на ваш почтовый сервер не зашифрован с использованием SSL.
Вам необходимо отправить сертификат по электронной почте, другие программы 3PP защищены песочницей от доступа к цепочке ключей iOS.
В iOS 11, если файл .crt находится в месте, доступном с помощью приложения «Файлы», вам просто нужно нажать на него из «Файлов», чтобы установить сертификат.
Это также относится к другим типам сертификатов, поддерживаемых iOS.
Источник
Как установить цифровые сертификаты на iPhone или iPad
Общество быстрыми темпами продвигается к оцифровке различных онлайн-процедур, а также к отказу от посещения физических точек для проведения другой регистрации. Чтобы иметь возможность аутентифицироваться в Интернете перед любой организацией или компанией, необходимо иметь сертификат, подтверждающий, что это вы. Это похоже на идентификацию с помощью документа, удостоверяющего личность, но в онлайн-мире. В этой статье мы объясним, как установить цифровой сертификат.
Что нужно знать о цифровом сертификате
Перед установкой цифрового сертификата важно точно знать, что вы собираетесь вводить самостоятельно. IPad or iPhone. Ниже мы расскажем, что вам следует знать об этом.
Что такое цифровой сертификат
Цифровой сертификат — это компьютерный файл, имеющий электронную подпись специализированного поставщика услуг. Обычно мы всегда ссылаемся на сертификаты открытых ключей, которые выдаются публичным органом, который проверяет подпись с конкретным подписывающим лицом. В этих сертификатах есть ключ, который связан исключительно с вашей личностью, как своего рода DNI. И дело в том, что в собственном DNI можно найти эти сертификаты, которые можно обновить, чтобы гарантировать безопасность, а также его подлинность.
Но они не ограничиваются электронными DNI, поскольку другие государственные органы также делают этот тип полностью цифровых файлов доступными для пользователей, которые могут храниться и запускаться на iPad или iPhone. Без сомнения, если вам нужно идентифицировать себя перед администрацией или какой-либо частной компанией, этот сертификат всегда должен быть установлен, чтобы ваша личность могла быть проверена.
Основное использование на ваших устройствах
Цифровые сертификаты имеют жизненно важное значение сегодня, особенно в контактах с государственной администрацией. Это позволяет вам идентифицировать себя в Интернете удобным и, прежде всего, безопасным способом для выполнения различных процедур, как если бы вы выполняли их лично. Ваша подпись будет иметь полную юридическую силу при выполнении различных соответствующих процедур, которые обычно вынуждают вас лично пойти в офис.
В случае с компьютером эту систему процедур всегда можно выполнить с помощью самого электронного DNI. Это заставляет вас всегда иметь под рукой считывающее устройство, чтобы ввести его и поставить цифровую подпись. В случае с iPad или iPhone это невозможно из-за ограничений самой операционной системы. В таких ситуациях всегда необходимо выбирать цифровые сертификаты, которые можно удобно установить, как если бы это был профиль конфигурации, например бета-версия. Всегда настоятельно рекомендуется установить их.
Вы можете использовать iPad или iPhone для выполнения любого типа управления данными или запроса. Во время инициирования процесса в данный момент можно обнаружить сертификат в данный момент, чтобы его было удобно идентифицировать. Очевидно, вы также должны быть очень осторожны с этим типом сертификата, поскольку он включает в себя всю вашу личную информацию и в любое время может использоваться для выдачи себя за вашу личность. Но он не ограничивается государственным управлением, но также может использоваться, например, перед различными частными организациями для подписания контрактов.
Установка цифрового сертификата
После того, как вы примете во внимание необходимость установки сертификата, поскольку это полезно для выполнения различных процедур, мы расскажем вам, как это можно сделать как на iPad, так и на iPhone.
Запросить сертификат на компьютере
Перед установкой сертификата на iPad или iPhone его необходимо получить на компьютере. Если вы находитесь в Испании, наиболее распространенным и наиболее часто используемым сертификатом является сертификат FNMT (Фабрика национальной валюты и почтовых марок). Этот сертификат нельзя загрузить непосредственно на iPad, но вам придется завершить процесс через его веб-сайт на Мак или ПК. Это связано с тем, что подпись всегда должна производиться через электронный DNI, поэтому необходимо подключиться к совместимому считывателю, а также иметь необходимое программное обеспечение для подписи процесса сертификата.
После того, как вся процедура будет выполнена перед администрированием с Mac, вы сможете загрузить зашифрованный файл, который можно установить на iPad. Важно помнить, что при загрузке этих файлов они всегда будут зашифрованы. Важно, чтобы вы знали пароль, который собираетесь выбрать, чтобы установить их на мобильное устройство, поскольку они попросят вас ввести пароль, который вы выбрали.
Перенесите его на свое устройство
Когда у вас есть электронный сертификат на вашем Mac, самое время перенести его на ваш iPad или iPhone. Он может быстро проходить по различным каналам, доступным в экосистеме. Один из них — AirDrop, наиболее используемый всеми и его можно использовать в том случае, если у вас есть Mac, на котором вы выполнили эту обычную процедуру.
Если вы запросили сертификат через Windows ПК, существуют и другие системы, позволяющие осуществить перевод. Среди наиболее известных — WeTransfer или отправка по e-mail. Хотя вы также можете использовать другие системы передачи, такие как WhatsApp или Telegram.
Выполните установку
Если у вас есть файл цифрового сертификата на вашем iPad или iPhone, вы можете с комфортом установить его. Очевидно, у вас будет этот файл в приложении «Файлы», чтобы иметь возможность сохранять его, когда это возможно, для его установки. Чтобы установить его, первое, что вам нужно сделать, это щелкнуть файл, как если бы вы хотели открыть его в обычном режиме. На данный момент iPadOS или Ios обнаружит его как профиль, как если бы это была установка новой бета-версии.
Как только это будет сделано, войдите в приложение «Настройки». Вверху вы найдете раздел с надписью «Загруженный профиль», на который вы должны щелкнуть. Здесь вы увидите информацию о сертификате, который вы собираетесь установить. Имейте в виду, что во многих случаях сертификат можно отнести к категории ненадежных ресурсов. Но если вы скачали его с официального сайта, этому сертификату можно без проблем доверять. Как только все это будет проверено в окне конфигурации, вы должны щелкнуть в правом верхнем углу, где написано «Установить».
В качестве меры безопасности в данный момент будет запрошен PIN-код устройства, которое вы используете для его разблокировки. Затем будет сообщено, что сертификат не был подписан, но это что-то совершенно безразличное, и что вы должны проигнорировать, снова нажав Установить в правом верхнем углу, подтвердив это действие, если вы уверены, что загрузка была произведена с надежный сайт. Затем операционная система попытается расшифровать его содержимое, чтобы получить доступ к сохраненной информации, но для этого ей потребуется пароль, который шифрует данные. Пришло время ввести его, и с этого момента вы сможете использовать любой тип цифрового сертификата, который вы установили.
Использовать установленный цифровой сертификат
После того, как вы установили сертификат, пора использовать его на разных веб-сайтах. Использование практически автоматическое, поскольку установка выполняется в корневые файлы любого установленного вами браузера. Это значительно упрощает доступ к нему для всех и совсем не является громоздким. Кроме того, когда установка будет завершена, для ее правильной работы больше не нужно выполнять другие задачи. Можно сказать, что после того, как он установлен, вы можете полностью беспокоиться о нем, поскольку он всегда будет там, пока вам не придется обновлять его в обычном режиме в течение двух лет.
Чтобы иметь возможность использовать установленный вами сертификат, вам просто нужно будет войти на любую страницу, требующую безопасного входа в систему. Самыми яркими примерами являются запросы на прием к врачу или анамнез. Среди вариантов входа в систему появится опция «Цифровой сертификат», и сразу же начнется загрузка страницы с отображением всплывающего сообщения. Будет запрошено разрешение на использование сертификата, показывающего ваши личные данные, такие как имя или происхождение. При его принятии доступ к вашим личным данным будет осуществляться с максимальной допустимой безопасностью.
Источник