Gilt für: Cloud-verwaltete Fireboxen
In der Konfiguration von Mobile VPN with IKEv2 müssen Sie ein Zertifikat wählen. Sie können das von der Firebox signierte Standard-Zertifikat oder ein Drittanbieter-Zertifikat auswählen. Um ein Drittanbieter-Zertifikat verwenden zu können, müssen Sie es zuerst zum Gerät oder zu Ihrem WatchGuard-Konto hinzufügen.
VPN-Clients nutzen das Zertifikat für die Authentifizierung des VPN-Servers, bei dem es sich um die Firebox handelt. Das Zertifikat muss einen Domänennamen und eine IP-Adresse beinhalten, die mit dem Domänennamen und der IP-Adresse identisch sind, mit der sich die VPN-Clients verbinden. Bei Wahl eines Drittanbieter-Zertifikats wird über die Domäne und die Informationen zur IP-Adresse im Zertifikat gesteuert, mit welchen Domänennamen und Adressen sich Clients verbinden können.
Das Zertifikat darf nicht abgelaufen sein. Wenn das Zertifikat abgelaufen ist, vertraut der VPN-Client dem Zertifikat nicht. Von der Firebox generierte Zertifikate sind zehn Jahre lang gültig. Falls Sie ein Drittanbieter-Zertifikat auswählen, müssen Sie das Zertifikatsablaufdatum im Auge behalten, um eine Störung der VPN-Konnektivität zu vermeiden.
Mobile VPN with IKEv2-Zertifikate müssen Folgendes beinhalten:
- Der Server-Hostname (DNS=<server FQDN>) oder Server-IP-Adresse (IP=<server IP address>) als Teil des subjectAltName
- Die "serverAuth"-Kennung für Erweiterte Schlüsselnutzung (EKU)
Die Firebox unterstützt mit dem Elliptic Curve Digital Signature-Algorithmus erzeugte Zertifikate für Mobile VPN with IKEv2, die auch ECDSA- oder EC-Zertifikate genannt werden. Die IKEv2-VPN-Clients müssen ebenfalls EC-Zertifikate unterstützen. Die Unterstützung variiert je nach Betriebssystem:
- Windows 10 — Teilweise unterstützt (nur ECDSA-256 und ECDSA-384)
- Android — Unterstützung mit strongSwan, einem Open Source-Client
- macOS und iOS — Keine Unterstützung
Die Firebox unterstützt nur die folgenden elliptischen Kurven für Mobile VPN with IKEv2:
- Prime256v1
- Secp384r1
- Secp521r1