S'applique à : Fireboxes Gérés sur le Cloud
Dans la configuration de Mobile VPN with IKEv2 , vous devez sélectionner un certificat. Vous pouvez sélectionner le certificat par défaut signé par le Firebox ou un certificat tiers. Pour utiliser un certificat tiers, vous devez d'abord l'ajouter au périphérique ou à votre compte WatchGuard.
Les clients VPN utilisent le certificat pour authentifier le serveur VPN, à savoir le Firebox. Le certificat doit comprendre un nom de domaine et une adresse IP identiques au nom de domaine et à l'adresse IP auxquels les clients VPN se connectent. Si vous sélectionnez un certificat tiers, les informations de domaine et d'adresse IP figurant dans le certificat contrôlent les noms de domaine et les adresses auxquels les clients peuvent se connecter.
Le certificat ne doit pas avoir expiré. Si le certificat a expiré, le client VPN n'approuve pas le certificat. Les certificats générés par le Firebox sont valables dix ans. Si vous choisissez un certificat tiers, assurez le suivi de sa date d'expiration afin d'éviter toute interruption de la connectivité VPN.
Les certificats Mobile VPN with IKEv2 doivent comprendre :
- Le nom d'hôte du serveur (DNS=<server FQDN>) ou l'adresse IP du serveur (IP=<server IP address>) dans le cadre du sujetAltName.
- L'indicateur EKU (Extended Key Usage) "serverAuth"
Le Firebox prend en charge les certificats Elliptic Curve Digital Signature Algorithm pour Mobile VPN with IKEv2, également connus sous le nom de certificats ECDSA ou EC. Les clients VPN IKEv2 doivent également prendre en charge les certificats EC. La prise en charge varie en fonction du système d'exploitation :
- Windows 10 — Prise en charge partielle (ECDSA-256 et ECDSA-384 uniquement)
- Android — Prise en charge de strongSwan, un client open-source
- macOS et iOS — Pas pris en charge
Le Firebox ne supporte que ces courbes elliptiques pour le Mobile VPN with IKEv2 :
- Prime256v1
- Secp384r1
- Secp521r1