在 Apple 设备中使用 VPN 代理和证书配置

在 Apple 设备中使用 VPN 代理和证书配置对于所有配置，你可以为所有连接配置单个代理或为设备提供自动代理配置文件来指定 VPN 代理。

代理设置为所有连接配置单个代理：使用手动设置，提供地址、端口和认证（如有必要）。

使用 PAC 文件格式或网络代理自动发现 (WPAD) 协议方法为设备提供自动代理配置文件：使用自动设置。对于 HTTPS 上的 PAC，请指定 HTTPS 上的 PAC 或 JavaScript 文件的 URL。对于 WPAD，iOS、iPadOS 和 macOS 会请求 DHCP 和 DNS 以进行适当的设置。

要使用 VPN 代理配置，VPN 应提供以下方面：

默认解析器和默认路由：VPN 代理可供系统上的所有 Web 请求使用。

分离隧道：只有连接到与 VPN 的 DNS 搜索域相匹配的主机时才使用 VPN 代理。

证书设置设置和安装证书时：

服务器身份证书的 SubjectAltName 栏需要包含服务器的 DNS 名称或 IP 地址。设备使用此信息来验证证书是否属于服务器。为了获得更高的灵活性，可以使用通配符来指定 SubjectAltName，以达到按名称段匹配的目的，如 vpn.*.mycompany.com。如果未指定 SubjectAltName，则可以将 DNS 名称放在 CommonName 栏中。

为服务器证书签名的证书颁发机构 (CA) 的证书需要安装在设备上。如果该证书不是根证书，请安装信任链的剩余部分以便证书得到信任。如果使用客户端证书，请确保为客户端证书签名的可信 CA 证书已安装在 VPN 服务器上。使用基于证书的认证时，请确保服务器已设置为根据客户端证书中的栏位来识别用户的群组。

【重要事项】证书和 CA 需要有效（例如，可信且未过期）。不支持通过服务器发送整个证书信任链。

发布日期：2023 年 1 月 23 日另请参阅适用于 Apple 设备部署的 VPN 概览Apple 设备的 Cisco IPsec VPN 设置针对 Apple 设备的 VPN 设备管理设置概览