Профили конфигурации в OS X. Запросы SCEP и получение настроек VPN

Проект ruVPN ^[1] предлагает вашему вниманию решение VPN для компьютеров на базе Mac OS X ^[2], это макбуки, аймаки, мак мини и мак про. Особенно актуальна услуга будет для пользователей макбуков, им часто приходится использовать открытые беспроводные сети в кофейнях, аэропортах и гостиницах.

О возможных угрозах использования публичных сетей я уже писал ранее ^[3]. Все описанные ситуации применимы к пользователям ноутбуков.

Однако, статья является не только анонсом. Я расскажу про нюансы установки профилей на компьютеры Apple.

Прежде всего отсылаю к большой статье про профили конфигурации ^[4] для для мобильных устройств Apple. Там я лишь упомянул, что «технология загрузки профилей конфигурации с некоторыми допущениями относится и к мобильным устройствам на базе OS X 10.8+, то есть для свежих MacBook, MacBook Air/Pro». Сейчас пойдет речь про «некоторые допущения».

Прежде всего, надо отметить, что OS X намного более требовательна к соблюдению стандартов и протоколов. То, что спокойно игнорируется менеджером профилей в iOS, вызывает ошибку в OS X. Надо тщательно выверять все разделы профиля, особенно это касается запросов SCEP.

Список отличий OS X от iOS при работе с профилями конфигурации:

• Профиль должен содержать параметр PayloadScope для указания области применения профиля, системный или клиентский.
• GET запрос GetCACaps не содержит параметра message, некоторые SCEP серверы игнорируют подобный запрос.
• Все значения в параметре SubjectAltName раздела запроса SCEP должны быть распознаны системой, например UPN (User Principal Name) операционная система не понимает, поэтому единого профиля сертификата для OS X и Windows сделать не получится.

В остальном все идентично профилям iOS. В добавок появляется множество дополнительных параметров, специфичных только для OS X.

Что касается VPN, то в отличие от iOS, есть две горьких пилюли.

Во-первых, из OS X Montain Lion убрали поддержку автоматического подключения «Connect on Demand» ^[5]. Все из-за патентного тролля VirneX, который планомерно требует убрать подобную технологию из всех продуктов Apple.

Поэтому подключение к VPN придется запускать вручную, что для ноутбуков, впрочем, не является большим неудобством. Запуск VPN происходит из выпадающего меню в статусбаре:

Во-вторых, соединение VPN принудительно рвется примерно раз в 45 минут, отображается запрос пароля на подключение. Самым простым и разумным решением будет закрытие диалогового окна и запуск соединения из статусбара. Пароль вводить не требуется.
Проблема возникает из-за штатных параметров службы racoon, которые можно достаточно просто поменять ^[6]. После редактирования конфигурации racoon защищенный тоннель держится сутками. :-)

Напомню, что ruVPN предлагает VPN решения на базе профилей конфигурации. Любой желающий может бесплатно протестировать загрузку профиля и сервис VPN ^[7].

Тарифный план назвал "Бронепоезд ^[2]", поэтому такая картинка в начале статьи. Очень символичное название для быстрого и защищенного подключения к сети.

Удачного всем отпуска!

Автор: Maximus43

Источник ^[8]