Lorsqu'un tunnel Mobile VPN with IKEv2 est créé, l'identité de chaque endpoint doit être vérifiée par un certificat. Les certificats Firebox et les certificats tiers sont pris en charge.
Si vous utilisez un certificat pour l'authentification, il est important de suivre l'expiration des certificats. Cela permet d'éviter les perturbations dans les services critiques tels que le VPN.
Les certificats pour l'authentification Mobile VPN with IKEv2 doivent comporter le nom d'hôte du serveur (DNS=<server FQDN>) ou l'adresse IP du serveur (IP=<server IP address>) dans le sujetAltName.
Le certificat doit inclure l'indicateur EKU (Extended Key Usage) « serverAuth ».
Dans Fireware v12.5 ou version ultérieure, le Firebox prend en charge les certificats EC pour les Mobile VPN with IKEv2. Votre client IKEv2 doit également prendre en charge les certificats EC. La prise en charge varie selon le système d'exploitation. Pour plus d'informations concernant les certificats EC, consultez À propos des Certificats Elliptic Curve Digital Signature Algorithm (ECDSA).
Si vous exécutez l'assistant d'installation de Mobile VPN with IKEv2, le type de certificat Firebox est automatiquement choisi pour votre configuration Mobile VPN with IKEv2.
Pour modifier le certificat Mobile VPN with IKEv2, consultez Modifier la Configuration Mobile VPN with IKEv2.