OpenVPN Connect iOS FAQ (3)

iOS用OpenVPN Connectの起動後に表示される画面からFAQが参照できます。そのFAQの日本語訳を掲載します。

HTTPプロキシ経由でOpenVPNに接続するには？

iOSの「設定」で「OpenVPN」を選択すると、プロキシ設定が行えます。

iOSキーチェインからクライアント証明書を使用するには？

iOSキーチェインを使って秘密鍵を保管することには、セキュリティ上の利点があります。iOSキーチェインはiOSデバイスに搭載されているハードウェアレベルのキーストアであり、iOSレベルのデバイスパスワードによって鍵を保護し、デバイスがroot化されていても鍵の流出を防ぐことができます。
もし既にクライアント証明書と秘密鍵をPKCS#12ファイル（拡張子は .p12 または .pfx）としてまとめてあれば、そのファイルをメールかSafariを使ってiOSキーチェインにインポートできます。
もしPKCS#12ファイルがなければ、opensslコマンドを使って、証明書と秘密鍵のファイルをPKCS#12形式に変換できます（cert、key、caはそれぞれ、クライアント証明書、クライアントの秘密鍵、CAファイルのパスを指します）。

openssl pkcs12 -export -in cert -inkey key -certfile ca -name MyClient -out client.p12

これで生成されたclient.p12ファイルを、メールやSafariを使ってインポートします。
PKCS#12ファイルがインポートできたら、.ovpnファイルからcertとkeyの2つのディレクティブを削除し、.ovpnファイルを再度インポートし直します。インポートされると、certおよびkeyディレクティブのないプロファイルは、メインビューにCertificateの行が表示され、iOSキーチェイン内の識別情報（iOSの場合、この識別情報とは、PKCS#12を使ってインポートされた証明書と鍵のペアになります）とリンクすることができるようになります。Certificateをタッチし、MyClient証明書を選択します。これで、通常通り接続できるようになります。

PKCS#12ファイルをインポートしようとしたら、パスワードを聞かれたのはなぜですか？

PKCS#12ファイルを生成するときには、ファイルを暗号化するために「エクスポート用パスワード」が問い合わせられます。iOSキーチェインにPKCS#12ファイルをインポートするときには、このパスワードを入力する必要があります。これは、秘密鍵が途中で盗まれることを防ぐための仕組みです。

OpenVPNプロファイルのPKCS#12ファイルが、デスクトップ版OpenVPNと同じように使えないのはなぜですか？

iOS上でのPKCS#12ファイルと、デスクトップ版OpenVPNのPKCS#12ファイルは使い方が少し異なっています。デスクトップ版では、PKCS#12ファイルはOpenVPNプロファイルからバンドル、または参照されて使用されます。一方、iOSでは、PKCS#12の管理機能はiOSキーチェインに組み込まれています。これは、デバイスのハードウェア機能を用いてセキュリティを向上させることができるため、セキュリティの観点から見るとより良いアプローチといえます。しかし、これにより、OpenVPNプロファイルのインポートとは別の手順でiOSキーチェインにPKCS#12ファイルをインポートすることが必要になりました。
iOSにおけるPKCS#12ファイルの使い方については、FAQの前述の項目「iOSキーチェインからクライアント証明書を使用するには？」を参照してください。

プロファイルでサーバーのフェイルオーバー用の設定を行う方法は？

接続する複数のOpenVPNサーバーをリストとして指定することができます。接続に失敗すると、OpenVPNは応答するサーバーが見つかるまで、リスト内のサーバーに順番に接続しようとします。たとえば、以下のエントリをプロファイルに指定すると、まずサーバーAにUDP/1194で接続しようとし、その後TCP/443で、それも失敗すればサーバーBで同じように接続を試行します。OpenVPNは接続が成功するか、Preferenceで指定されたタイムアウトに到達するまで接続を試行します。

remote server-a.example.tld 1194 udp
remote server-a.example.tld 443 tcp
remote server-b.example.tld 1194 udp
remote server-b.example.tld 443 tcp