My Home NW Lab

逸般の誤家庭のネットワーク

Apple iOS版のFortiClient VPNアプリでクライアント証明書を認識させる

Apple iOS版のFortiClient VPNアプリでクライアント証明書を認識させるための条件を整理します。

Apple iOS版FortiClient VPNアプリでのクライアント証明書の取り込み

前提情報

  • クライアント証明書はPKCS#12形式でパスフレーズ付きの必要があります。

  • FortiClient VPNアプリはアプリ自身の中に保存されているクライアント証明書しか認識しません。

  • FortiClient VPNアプリ内に保存されたクライアント証明書は、ファイル拡張子が .p12 もしくは .fctp12 になっていないと認識されません。

FortiClient VPNアプリへのクライアント証明書の取り込み方法

FortiClient VPN 7.0.0の公式ドキュメント上の手順

公式ドキュメントに記載されている手順では、ファイル拡張子を .fctp12 にして、メール アプリからFortiClient VPNアプリに取り込む方法となります。

docs.fortinet.com

Open the email, then download the received certificate. The certificate must have the .fctp12 extension for FortiClient (iOS) to import it. If the certificate does not have the .fctp12 extension, rename it so that it does.

下記の画面キャプチャはGmailアプリからクライアント証明書を取り込もうとしている例です。

メール アプリからFortiClient VPNアプリへの取り込み (1/5)

ファイル拡張子を .fctp12 以外にすると、FortiClient VPNアプリが選択肢に出ないため注意してください。

メール アプリからFortiClient VPNアプリへの取り込み (2/5)

クライアント証明書の取り込みが成功すると、FortiClientアプリでインポートされた旨のメッセージが表示されます。

メール アプリからFortiClient VPNアプリへの取り込み (3/5)

クライアント証明書を使用するには Use Certificate のトグルボタンをオンにして、File Name からファイルを選択します。

メール アプリからFortiClient VPNアプリへの取り込み (4/5)

メール アプリから正常に取り込みが行われていれば、クライアント証明書のファイルが表示されます。

メール アプリからFortiClient VPNアプリへの取り込み (5/5)

iTunes経由でのクライアント証明書の取り込み

FortiClient VPN 7.0.0のドキュメントには明記されてないですが、ファイル拡張子を .p12 もしくは .fctp12 にしてiTunesからFortiClient VPNアプリへ取り込む方法もあります。 それ以外のファイル拡張子ではFortiClient VPNアプリから認識されません。

iTunesからFortiClient VPNアプリへの取り込み (1/2)

iTunesからFortiClient VPNアプリへの取り込み (2/2)

2018年頃のFortiClientのドキュメントには、iTunesからファイル拡張子を .p12 で取り込んでいる画面キャプチャがありました。ですが、現在はそのドキュメントが削除されていて情報が残ってません。 .fctp12 のファイル拡張子に関しては、メール アプリから取り込んで認識されるならiTunesからも同様であると考えて、筆者が検証して確認しました。

注意点: 構成プロファイルのクライアント証明書はFortiClient VPNでは認識しない

Apple iOSではクライアント証明書を構成プロファイルとして管理できますが、FortiClient VPNアプリからは参照できません。

Apple iOS版FortiClient VPNアプリは構成プロファイルを参照できない

検証時の情報

  • Apple iOS版のFortiClientのVersion: 7.0.6.0059

    Apple iOS版のFortiClientのVersion: 7.0.6.0059

  • iPhone 13 ProのVersion: iOS 16.0.2 (20A380)

    iPhone 13 ProのVersion: iOS 16.0.2 (20A380)

参考情報: 2018年頃のクライアント証明書の取り込み方法について

2018年頃のFortiGateがVersion: 5.6系の時代では、メール アプリを経由してクライアント証明書をFortiClient VPNアプリへ取り込む方法が出回っておらず、筆者が把握している限りではiTunesを経由する方法しかありませんでした。 iTunesを経由する手段しかなかったため、MDM (Mobile Device Management)によるクライアント証明書の配布が行えず、大規模展開における障壁になっておりました。 なお、当時は代理店に問い合わせて、ファイル拡張子を .p12 にする必要があるのを知りました。

現在ではメールによる配布が可能となりましたが、依然としてMDMによるクライアント証明書の配布には対応しないため、大規模な導入では運用負荷が上がってしまう可能性があります。