Se aplica A: Fireboxes administrados en la nube
En la configuración de Mobile VPN with IKEv2, debe seleccionar un certificado. Puede seleccionar el certificado predeterminado firmado por el Firebox o un certificado de terceros. Para utilizar un certificado de terceros, primero debe agregarlo al dispositivo o a su cuenta de WatchGuard.
Los clientes VPN utilizan el certificado para autenticar el servidor VPN, que es el Firebox. El certificado debe incluir un nombre de dominio y una dirección IP idénticos al nombre de dominio y la dirección IP a los que se conectan los clientes VPN. Si selecciona un certificado de terceros, la información sobre el dominio y la dirección IP del certificado controlará a qué nombres de dominio y direcciones pueden conectarse los clientes.
El certificado no debe estar vencido. Si el certificado ha vencido, el cliente VPN no confiará en el certificado. Los certificados generados por Firebox tienen una validez de diez años. Si selecciona un certificado de terceros, asegúrese de realizar un seguimiento de la fecha de vencimiento del certificado para evitar interrupciones en la conectividad VPN.
Los certificados de Mobile VPN with IKEv2 deben incluir:
- El nombre de host del servidor (DNS=<servidor FQDN>) o la dirección IP del servidor (IP=<dirección IP del servidor>) como parte del subjectAltName
- La marca "serverAuth" de Uso Extendido de la Llave (EKU)
El Firebox admite certificados Elliptic Curve Digital Signature Algorithm para Mobile VPN with IKEv2, que también se conocen como certificados ECDSA o EC. Los clientes de VPN IKEv2 deben admitir los certificados EC. La compatibilidad varía en función del sistema operativo:
- Windows 10 — Compatibilidad parcial (solo ECDSA-256 y ECDSA-384)
- Android — Compatibilidad con strongSwan, que es un cliente de código abierto
- macOS e iOS — Sin compatibilidad
El Firebox solo admite estas curvas elípticas para Mobile VPN with IKEv2:
- Prime256v1
- Secp384r1
- Secp521r1
Acerca de Mobile VPN para un Firebox Administrado en la Nube