Cuando se crea un túnel de Mobile VPN with IKEv2, la identidad de cada endpoint debe ser verificada con un certificado. Se admiten certificados Firebox y certificados de terceros.
Si utiliza un certificado para la autenticación, es importante realizar un seguimiento de cuándo vencen los certificados. Esto ayuda a evitar interrupciones en servicios críticos como VPN.
Los certificados para la autenticación de Mobile VPN with IKEv2 deben tener el nombre de host del servidor (DNS=<servidor FQDN>) o la dirección IP del servidor (IP=<dirección IP del servidor>) como parte del subjectAltName.
El certificado debe incluir el indicador de Uso de Clave Extendido (EKU) "serverAuth".
En el Fireware v12.5 o superior, el Firebox admite certificados EC para Mobile VPN with IKEv2. Su cliente IKEv2 también debe admitir certificados EC. La compatibilidad varía según el sistema operativo. Para obtener más información acerca de los certificados EC, consulte Acerca de los certificados de Algoritmo de Firma Digital de Curva Elíptica (ECDSA).
Si ejecuta el asistente de configuración para Mobile VPN with IKEv2, el tipo de certificado Firebox se especifica automáticamente para su configuración de Mobile VPN with IKEv2.
Para editar el certificado Mobile VPN with IKEv2, consulte Editar la Configuración de Mobile VPN with IKEv2.