上期文章講解了在pfSense內之IPSec開啟IKEv2及支援行動裝置的相關設定,本期接著介紹如何在iOS裝置和Windows 7電腦上匯入憑證及建立連線,並確認連線過程中的加密情形。
介紹過如何在pfSense上架設支援IKEv2的IPSec VPN之後,以下接著說明如何在iOS裝置和Windows 7電腦上進行VPN Client的設定,並讓這些設備都能夠連入pfSense的IPSec VPN。首先,說明如何匯出CA(憑證授權中心)憑證。
匯出CA憑證
首先登入pfSense,然後點選「System」選單裡面的【Cert. Manager】選項,如圖1所示。
 |
| ▲圖1 依序點選【System】及【Cert. Manager】。 |
此時預設會選擇CAs,找到之前建立的IKEv2 CA,並點選後方的Export CA圖示(星芒圖示),如圖2所示。將檔案下載儲存後,寄到E-mail信箱,以利之後的匯入及使用。
 |
| ▲圖2 點選Export CA圖示。 |
iOS匯入憑證
緊接著,開啟iOS的郵件,並且找到剛才的檔案IKEv2+CA.crt,再點選它進行安裝,如圖3所示。
 |
| ▲圖3 點選IKEv2+CA.crt檔案開始安裝。 |
點選該檔案後,iOS會詢問是否進行安裝,在此也會看到憑證的名稱為「pfsense.zapto.org」,目前的狀態為尚未驗證,點選「安裝」進行安裝程序(圖4)。
 |
| ▲圖4 點選「安裝」開始安裝作業。 |
接著,iOS會要求使用者輸入密碼進行安裝。在輸入後,再點選一次「安裝」,iOS告知此動作為將憑證加入iPhone上受信任的憑證列表,如圖5所示。
 |
| ▲圖5 將憑證加入iPhone上受信任的憑證列表。 |
進行安裝後,描述檔的狀態會變成「完成」,原先的尚未驗證已變成「已驗證」,如圖6所示。
 |
| ▲圖6 原先的尚未驗證已變成已驗證。 |
然後,確認憑證是否已成功匯入。點選「設定」,再按下「一般」,以及點選「描述檔與裝置管理」。此時,在設定描述檔中,已可看到剛匯入的「pfsense.zapto.org」,如圖7所示。
 |
| ▲圖7 發現了剛匯入的pfsense.zapto.org。 |
iOS設定VPN Client
接著,在iOS裝置上設定VPN連線。點選「設定」,再點選「VPN」,然後按一下「加入VPN設定」,如圖8所示。
 |
| ▲圖8 點選「加入VPN設定」。 |
在「類型」選擇「IKEv2」(應為預設值),在「描述」部分是之後用來識別的名稱,在此輸入「IKEv2 VPN」,「伺服器」欄位則輸入「pfsense.zapto.org」,「遠端識別碼」就是在建立CA時設定的Common Name,當時使用的是「pfsense.zapto.org」,所以此處同樣輸入該名稱,如圖9所示。
 |
| ▲圖9 設定IKEv2內容。 |