Mobile VPN with IKEv2 構成では、証明書を選択する必要があります。Firebox によって署名された既定の証明書またはサードパーティの証明書を選択することができます。サードパーティの証明書を使用する場合は、まずその証明書をデバイスまたは WatchGuard アカウントに追加する必要があります。
VPN クライアントでは、証明書を使用して VPN サーバー (Firebox) が認証されます。証明書には、VPN クライアントから接続するドメイン名と IP アドレスと同じドメイン名と IP アドレスが含まれている必要があります。サードパーティの証明書を選択した場合は、証明書のドメインと IP アドレスの情報により、クライアントから接続できるドメイン名前とアドレスが制御されます。
証明書の有効期限が切れていないことを確認してください。証明書の有効期限が切れていると、VPN クライアントで証明書が信頼済みとなりません。Firebox で生成された証明書は 10 年間有効です。サードパーティの証明書を選択する場合は、VPN 接続の中断が発生しないように、証明書の有効期限を必ず追跡してください。
Mobile VPN with IKEv2 証明書には、以下が含まれている必要があります。
- subjectAltName の一部として、サーバーのホスト名 (DNS=<サーバーの FQDN>) またはサーバーの IP アドレス (IP=<サーバー IP アドレス>) が含まれている必要があります。
- 「serverAuth」拡張キー使用法 (EKU) フラグが含まれている必要があります。
Firebox では、Mobile VPN with IKEv2 の楕円曲線デジタル署名アルゴリズム (楕円曲線DSA) 証明書がサポートされています。これは、ECDSA または EC 証明書と呼ばれることもあります。また、IKEv2 VPN クライアントで EC 証明書がサポートされている必要があります。サポート対象は、オペレーティング システムによって異なります。
- Windows 10 — 部分的にサポート (ECDSA-256 および ECDSA-384 のみ)
- Android — オープンソースクライアントである strongSwan のサポート
- macOS および iOS — サポートなし
Firebox は、Mobile VPN with IKEv2 で次の楕円曲線のみサポートします。
- Prime256v1
- Secp384r1
- Secp521r1