Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad"ов. Я не смог придумать ничего умнее как использовать IPSe x c и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.

Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.

Начало пути

Определимся что должны получить на выходе:

• настроенный VPN сервер
• клиентские сертификаты, которые мы установим на iOS

Как должно работать:
VPN должен включиться на iPad"е сам как только мы обратимся к определённом хосту, например «ya.ru». При этом не запрашивая пароль у пользователя.
Что будем использовать:

• Ubuntu
• strongSwan 5.0.3

Что будем делать:

• Снегерим ключи
• Выкачаем из git-репозитория и соберём руками strongSwan
• Настроим конфиги

Первая кровь

Как выяснилось, RSA-авторизация в strongSwan сделана через xauth. И этот самый xauth, помимо сертификата, обязательно требует ещё и логин с пароль. Вот такая у них реализация. У strongSwan есть вполне сносное описание как поднять IPSec VPN для работы с iOS. Но проблема здесь как раз в запросе пароля. Поэтому этот вариант нам не подходит.

Но не всё так плохо! Нас спасёт Tobias Brunner и его коммит ! Как раз без этого коммита у нас ничего бы и не получилось. Спасибо ему огромное. Этот код представляет собой плагин к xauth, который не требует дополнительной аутентификации пользовательского логина и пароль. Т.е. происходит только RSA-аутентификация по ключам. Что нам и нужно было!

Сертификаты

Не буду рассказывать про то как сгенерировать ключи. Это очень подробно описано в . Я лишь хочу обратить внимание на несколько важных моментов туториала:

1. Значение поля common name (CN) сертификата должно в точности воспадать с ip или доменным именем VPN сервера. В случае Amazon EC2 это будет что-то вроде «ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com».
2. При установке сертификатов на iPad нужно не забыть кроме клиентского PKCS#12 (*.p12) установить ещё и корневой. В туториале она называется caCert.pem.

Приступим

Перед установкой рекомендуется прочитать и внять рекомендациям по «хакингу». А точнее по сборке пакета из репозитория.

После установки всех необходимых библиотек и тулзов перейдём к сборке:

1. Выкачаем branch с тем самым волшебным плагином: git clone git://git.strongswan.org/strongswan.git xauth-noauth strongswan-git-xauth-noauth/
2. Создадим скрипты конфигурации: ./autogen.sh
3. Сконфигурируем: ./configure --prefix=/usr --sysconfdir=/etc --enable-xauth-noauth
4. Соберём пакет: sudo checkinstall -D --install=no
5. И, наконец, установим его: dpkg -i strongswan-git-xauth_5.0.3-xauth-noauth-1_amd64.deb

Не забудьте открывать на firewall"е 500 и 4500 UDP порты, т.к. через них работает IPSec.
Разрешим проброску пакетов через NAT:
iptables --table nat --append POSTROUTING --jump MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done
Наконец мы можем приступить к конфигурации.

/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification config setup conn ios keyexchange=ikev1 xauth=server leftauth=rsa rightauth=rsa rightauth2=xauth-noauth left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes leftcert=serverCert.pem right=%any rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.0/24 rightcert=clientCert.pem auto=add

/etc/ipsec.secrets

: RSA serverKey.pem

/etc/strongswan.conf

charon { # number of worker threads in charon threads = 16 dns1 = 8.8.8.8 plugins { } } libstrongswan { }
Init.d скрипт слишком длинный. Его можно будет забрать .

Установка сертификатов на iOS

Установить сертификаты (clientCert.p12 и caCert.pem) можно несколькоми способами:

• Используя iPhone Configuration Utility
• Отправив сертификаты себе по почте. И дальше получить из на iPad.
• Скачав их с помощью Safari прямо на самом устройстве.

Лично я советую использовать iPhone Configuration Utility, т.к. только там можно задать домены для которых должен быть On-Demand VPN.

Вопросы, комментарии, критика приветствуется.
Спасибо за внимание.

Приветствую! Сегодня будет коротенькая заметка, посвященная сертификации iPhone для различных рынков. Почему коротенькая? Потому что тема сама по себе уже жевана-пережевана в интернете, и что-то совсем новое я здесь вряд ли вам расскажу (но постараюсь:)). Вы спросите: «А зачем тогда вообще писать одно и то же?».

Просто в комментарии к статьям продолжают поступать вопросы: Что брать Евротест или Ростест? Что будет если взять iPhone европейца? Чем они отличаются? Ну и все в таком духе... Повторять одно и то же - тяжело, а не отвечать совсем - неправильно. Поэтому и родилась вот такая статейка, рассказывающая о том, с iPhone какой сертификации можно столкнуться при покупке его в России и в чем собственно между ними разница? Поехали же!

Итак, чаще всего на нашем рынке встречаются iPhone:

• Ростест.
• Европейские.
• Американские.
• Не пойми какие.

Американские и «не пойми какие» рассматривать подробно не будем. Про американские и так все ясно - произведены для продажи в Америке, могут быть заблокированы на определенного оператора, контрактные, до последнего времени не покрывались гарантией в РФ (некоторые модели и сейчас не подлежат бесплатному ремонту в России) и т.д.

А под непонятными iPhone я подразумеваю приблизительно такие устройства - .

Ростест или «белые» iPhone

С Ростестом (РСТ) все в принципе понятно - это официально ввезенные в Россию iPhone, со всеми вытекающими последствиями: гарантией, сертификацией, предусмотренными российским законодательствам налогами и сборами, рекомендованной рыночной ценой:)

Иногда их еще называют «белые». Конечно не из-за цвета корпуса - подразумевается что они прошли все необходимые бумажные процедуры, ввезены с соблюдением законодательства и полностью «белы» перед законом.

Важно! С недавнего времени, вместо букв РСТ на коробке с iPhone можно встретить другие символы - EAC. Это знак Евразийского соответствия и сертификации таможенного союза (Россия, Беларусь и Казахстан). Если смотреть со стороны потребителя, то Ростест и EAC - это абсолютно аналогичные сертификации, так что не нужно переживать по этому поводу. Если стоит маркировка EAC - значит iPhone официальный и «белый».

Такие гаджеты продаются у официальных дилеров. Покупая их можно не сомневаться в том, что они точно будут поддерживать все необходимые частоты, работать со всеми российскими сим-картами и так далее.

Европейские или «серые» iPhone

У продавцов в наших магазинах, айфоном с сертификацией Евротест, в большинстве случаев принято называть любой смартфон от Apple, который не является Ростестом. Все то, что привезено в обход официальных поставок - это и есть iPhone с Евротестом («серые» устройства). Иногда сюда «приплетают» и американские гаджеты, но делать это, наверное, неправильно.

Везут их на перепродажу из европейских государств, что позволяет сэкономить на уплате налогов, пошлин, сертификации и т.д. В итоге, все это положительно сказывается на конечной цене устройства.

iPhone Евротест или Ростест - что выбрать то?

Понятно, что Ростест вроде как априори лучше, покупаешь «белое» и сертифицированное устройство - чувствуешь себя спокойно и уверенно. Так почему же некоторые предпочитают iPhone именно Евротест, чем он лучше или хуже?

Для начала, самое главное определиться вот с чем - это абсолютно такие же iPhone, как и те, которые продаются в России. Разницы практически нет! Но в некоторых случаях отличия все-таки бывают и заключаются они в прошивке - для некоторых стран в iPhone:

1. Установлено ограничение по максимальной громкости музыки в наушниках.
2. Не будет работать FaceTime.
3. Нельзя отключить звук затвора фотокамеры.

Все эти ограничения зависят от законодательства страны, для продажи в которой он предназначен. По сути ничего страшного нет, но если вы покупаете iPhone европейской сертификации, то можете с этим столкнуться.

Также необходимо помнить, что в некоторых странах iPhone может продаваться заблокированным под определенного оператора связи - гаджет будет работать только с его сим-картой. При покупке в магазине вы вряд ли столкнетесь с таким, а вот если брать по объявлению, то все может быть... Кстати, в ростестовском iPhone ничего из вышеперечисленного нет.

Кроме этого, существует еще четыре важных отличия Ростест iPhone от Евротеста:

Как говориться, выбор только за вами. Сэкономить и в чем то потерять (на мой взгляд, самое большое упущение - это срок гарантийного обслуживания). Или купить Ростест, но подороже.

P.S. А вы как считаете? Что лучше? Пишите в комментарии!

P.S.S. Хорошо что у нас есть выбор, правда? «Лайк» же за это!:)

Обновлено! Дорогие читатели, пожалуйста, не просите меня советовать какой-либо магазин для покупки Евротест iPhone. Дело не в том, что я такой плохой и мне жалко. Нет. Просто я не могу быть полностью уверен в каком-либо магазине - даже в тех, где уже покупал ранее сам. Поймите меня правильно - я не хочу чтобы покупка по моему совету была неудачной и вместо радости принесла разочарование. Спасибо.

Обновлено 2! В комментариях очень часто задают вопрос: «Где купить Евротест и сэкономить»? Отвечаю. Магазинов, на самом деле, огромное количество. Как я уже писал, рекомендовать какой-то один из них - это не в моих силах. Но я могу подсказать кое-что другое:

1. Для экономии и возврата части денег с покупки (на защитное стекло или чехол должно хватить) переходим на этот сайт и регистрируемся .
2. После регистрации смотрим магазины и сравниваем цены. Берем там где дешевле и получаем часть потраченных денежных средств обратно.

В итоге: купили iPhone (магазинов действительно много - можно найти телефоны «Ростест» и «Евротест») и сэкономили. Красота!

iPhone и iPad могут работать с Exchange, синхронизируя ваши почту, контакты, календари, напоминания, заметки.

1. Откройте Настройки .

2. Выберите Почта, адреса, календари .

3. Выберите Добавить учетную запись .

4. Выберите Exchange .

5. Укажите адрес электронной почты, пароль и нажмите Далее .

6. Если у вас появится уведомление об удостоверении сертификата - просто нажмите Продолжить . Это может быть связано с тем, что на сервере используется так называемый самоподписанный сертификат, который сервер назначает себе сам, а ваш iPhone или iPad просто предупреждают вас об этом.

7. Если настройки не определяются автоматически - адрес сервера потребуется ввести вручную, его потребуется уточнить у вашего системного администратора или выяснить самому с помощью команды с вашего компьютера, например, nslookup autodiscover.shortcut.ru , получив и имя, и IP-адрес сервера.

8. Укажите необходимые настройки и нажмите Сохранить .

9. Выберите новую запись в списке.

10. Нажмите Дн для синхрон .

11. Выберите, за какой период требуется синхронизировать почту, и выйдите из настроек.

12. Обратите внимание, что почта и прочая информация могут появиться не сразу.

По данным ВЦИОМ , самой популярной покупкой в России в 2015 году стал смартфон. Чаще всего мобильные устройства меняют из-за поломок или из-за выхода новых моделей (пресс-выпуск № 3024). Скоро вы тоже пойдете за новым смартфоном и неизбежно столкнетесь с вопросом: купить дорогой сертифицированный аппарат или найти дешевле на сером рынке.

Маргарита Шило

журналист

Мы разобрались, можно ли отличить официальный телефон от серого на глаз, стоит ли переплачивать за сертификацию и дает ли она гарантию качества. И что же это значит - «Телефон Ростест»?

Что такое «Ростест»

Все товары, которые попадают на прилавки российских магазинов, должны проходить сертификацию. Проверяет практически всё - от продуктов и детских игрушек до сложной бытовой техники и услуг автосервисов - испытательный центр «Ростест». Он же ассоциируется и с проверкой телефонов.

В действительности телефонов, проверенных «Ростестом», уже не существует. Сертификацией мобильных устройств этот центр не занимается с начала 2015 года. И несмотря на то что производители продолжают рисовать на упаковках значок «Ростеста», в 2016 году это действие не имеет смысла. Ростестовых смартфонов больше нет.

Сертификация мобильных телефонов

Обязательную сертификацию мобильных устройств в России отменили три года назад. Но это не значит, что телефоны никак не проверяют перед ввозом.

Перед ввозом партии телефонов в России поставщик должен уведомить ФСБ, что в устройствах есть шифровальные элементы. Параллельно они должны заплатить таможенную пошлину - налог за импорт товара. Только после этого мобильные телефоны попадают через границу.

На все ввозимые в Россию телефоны нужно получить сертификат соответствия техническим регламентам Таможенного союза. Он нужен, чтобы убедиться: устройство попало в страну легально, оно безопасно для использования и соответствует заявленным характеристикам. Это значит, что программное обеспечение русифицировано, есть инструкция на русском языке, а чинить устройство готовы в сервисных центрах по всей стране.

Получают такой сертификат на каждую новую модель и на каждое обновление программного обеспечения. Если поставщик получил сертификат на Айфон 6 с Ай-ос 8, а потом собрался ввозить тот же Айфон 6, но с Ай-ос 9, сертификацию придется пройти снова.

Чтобы получить такой сертификат, производитель или поставщик должен передать в один из сертификационных центров заявление и образцы телефонов и зарядников. Формально их должны тестировать в специальной лаборатории, но по факту просто сравнивают технические характеристики на упаковке с теми, что заявил производитель. Если они одинаковые и всё в порядке с документами, выдается сертификат.

Что такое серый телефон

Серыми называют телефоны, которые ввозятся в страну нелегально. Это значит, что через таможню они не проходили, дистрибьюторы не отчитывались перед ФСБ и не отдавали устройства на экспертизу. По сути, это контрабанда.

Серый телефон необязательно поддельный или некачественный. Физически он может ничем не отличаться от сертифицированного. По крайней мере, они сделаны на одном и том же заводе теми же людьми.

Серый телефон необязательно поддельный или некачественный

Часто работает такая схема: продавец покупает Айфоны в официальном магазине «Эпла» в Нью-Йорке, складывает их в чемодан и ввозит в Россию под видом личных вещей. Он не платит таможенную пошлину и за счет этого может продать телефон дешевле.

В среднем в России такие телефоны стоят на 10-20% дешевле, чем официальные. Например, Айфон 7 на 32 Гб в официальном магазине «Эпла» стоит 50 990 рублей, а в интернет-магазинах такой же телефон можно найти на 10 тысяч дешевле.

Если Айфоны ввозят из Европы, то по ним могут даже оформить таксфри и вернуть НДС. Благодаря этому телефон становится еще дешевле.

Что не так с серым телефоном

Нет гарантии. Покупая серый телефон, потребитель берет риски на себя. Гарантии от производителя в данном случае нет, а значит, официальные сервисные центры могут отказаться ремонтировать устройство. Покупатель получает только гарантию магазина. При этом неизвестно, будет ли магазин существовать через месяц.

Если магазин специализируется на продаже серых устройств, он может заключить договор с каким-нибудь полуподвальным сервисным центром, который будет ремонтировать телефоны по полгода и только если ему постоянно напоминать о себе. Формально гарантия продавца есть, по факту это фарс.

Ориентирован на другую страну. Велик риск нарваться на устройство с привязкой к иностранному оператору сотовой связи. Чтобы сделать его пригодным для отечественных операторов, продавцы вынуждены взламывать телефоны - устанавливать программы, которые убирают блокировку на работу с «неродными» сотовыми операторами.

Из-за этого часто возникают ошибки: телефон может неожиданно отказаться работать с российской симкартой или ловить интернет. Серые Айфоны, привязанные к американскому оператору, не могут просто так обновиться до новой версии Ай-ос - приходится ждать, пока хакеры соорудят для нее «разлочку». При этом сама «разлочка» теоретически может содержать троянские программы или вирусы.

Сертификат соответствия тоже не дает гарантии, что устройство будет работать идеально. Это связано со схемой проверки: сертификат выдается на всю партию разом, из тысячи устройств проверят лишь два. Если у какого-то другого устройства на заводе перепутали модуль радиосвязи или не припаяли антенну, то он не будет работать, несмотря на сертификацию. Но хотя бы сертифицированный телефон можно будет починить или заменить по гарантии, а серый - не факт.

Подделка. Серый телефон может оказаться китайским клоном или даже муляжом. Таких случаев масса, причем не только в России. Например, в 2014 году жительница Великобритании пожаловалась, что китайская копия ее Айфона взорвалась рядом с ребенком. А в одном из автобусов в Китае камера наблюдения сняла, как мобильный телефон рванул в руках у женщины, когда та пыталась заменить аккумулятор.

Впрочем, и здесь не всё однозначно. В прошлом году уже легальный Айфон взорвался в кармане у 12-летнего мальчика в Саудовской Аравии, в результате чего он получил серьезные ожоги.

Вероятность мошенничества. Серые Айфоны могут и продаваться по-серому. Сомнительных схем десятки. Например, продажа смартфона с включенной функцией «Найти Айфон». Доверчивый покупатель покупает телефон, а через какое-то время получает сообщение: «Этот телефон был украден. Я знаю, где вы. Верните телефон, или я пойду в полицию». После этого смартфон блокируется. Как правило, аппарат быстро возвращают хозяину, и обманный алгоритм запускается снова.

Мошенничают и крупные интернет-магазины. Один из самых громких случаев произошел в 2014 году. Российский интернет-магазин «С-а-с» в преддверии выхода Айфона 6 предложил по предоплате купить его за 19 999 рублей при официальной цене 31 990 рублей. Авантюра привлекла многих, часть клиентов даже получила аппарат, но в какой-то момент сайт магазина перестал открываться.

Как отличить

Визуально определить серый смартфон практически невозможно. Лет 10 назад, когда все пользовались кнопочными телефонами, главным признаком подделки было отсутствие клавиатуры на русском языке. Сейчас русский язык есть в настройке телефона, а выглядят и серые и официальные устройства одинаково.

Но вот это можно проверить: у официально ввезенного в Россию телефона обязательно должна быть инструкция на русском языке.

Еще один тревожный знак - логотипы иностранных операторов на упаковке. Если они есть, перед вами серый телефон.

Если при первом включении телефон без спросу загружает корейский или китайский язык, скорее всего, он нелегальный. Если телефон создан для международной продажи, он сначала спросит вас о языке.

Считается, что проверить, оригинальный ли телефон, можно по IMEI - международному идентификатору мобильного оборудования. Однако эксперты «Самсунга» предупреждают, что проверка IMEI не может определить, поддельный ли аппарат, поскольку уникальный код может быть скопирован с оригинального устройства. А это значит, что перед вами снова может оказаться подделка. Читайте об этом у «Самсунга» .

Можно проверить подлинность смартфона с помощью приложений «Бенчмарк» и «Антуту»: они укажут на родословную телефона.

Наконец, серый телефон можно определить по цене. Если официальный поставщик продает «Самсунг-гэлакси-эс-7» на 32 Гб за 50 тысяч рублей, а в неизвестном интернет-магазине его предлагают за 38, это повод насторожиться. С другой стороны, ничего не мешает неизвестному интернет-магазину продавать серый телефон за 50 тысяч.

Что выбрать: серый или официальный

Серый телефон стоит покупать только тем, кто любит ковыряться с прошивками, разлочками и альтернативными операционными системами. Эти люди знают, что они делают. Когда разбираешься в телефоне на хакерском уровне, то можешь добиться и большего быстродействия, и настроить его как угодно, еще и сэкономить. Такие люди сами кому хочешь проведут гарантийный ремонт. Покупайте «серый», если у вас есть в друзьях такой специалист.

Для работы покупайте только официальный. Помните, что разлоченный «серый» телефон может быть заряжен программами-шпионами.

Запомнить

Серый смартфон

Не примут по гарантии в официальных сервисных центрах

Если не повезет, придется перепрошивать

Если очень не повезет, попадется подделка

Официальный смартфон

Примут во всех официальных сервисных центрах

Всегда работает в российских сотовых сетях

Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad"ов. Я не смог придумать ничего умнее как использовать IPSe x c и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.

Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.

Начало пути

Определимся что должны получить на выходе:

• настроенный VPN сервер
• клиентские сертификаты, которые мы установим на iOS

Как должно работать:
VPN должен включиться на iPad"е сам как только мы обратимся к определённом хосту, например «ya.ru». При этом не запрашивая пароль у пользователя.
Что будем использовать:

• Ubuntu
• strongSwan 5.0.3

Что будем делать:

• Снегерим ключи
• Выкачаем из git-репозитория и соберём руками strongSwan
• Настроим конфиги

Первая кровь

Как выяснилось, RSA-авторизация в strongSwan сделана через xauth. И этот самый xauth, помимо сертификата, обязательно требует ещё и логин с пароль. Вот такая у них реализация. У strongSwan есть вполне сносное описание как поднять IPSec VPN для работы с iOS. Но проблема здесь как раз в запросе пароля. Поэтому этот вариант нам не подходит.

Но не всё так плохо! Нас спасёт Tobias Brunner и его коммит ! Как раз без этого коммита у нас ничего бы и не получилось. Спасибо ему огромное. Этот код представляет собой плагин к xauth, который не требует дополнительной аутентификации пользовательского логина и пароль. Т.е. происходит только RSA-аутентификация по ключам. Что нам и нужно было!

Сертификаты

Не буду рассказывать про то как сгенерировать ключи. Это очень подробно описано в . Я лишь хочу обратить внимание на несколько важных моментов туториала:

1. Значение поля common name (CN) сертификата должно в точности воспадать с ip или доменным именем VPN сервера. В случае Amazon EC2 это будет что-то вроде «ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com».
2. При установке сертификатов на iPad нужно не забыть кроме клиентского PKCS#12 (*.p12) установить ещё и корневой. В туториале она называется caCert.pem.

Приступим

Перед установкой рекомендуется прочитать и внять рекомендациям по «хакингу». А точнее по сборке пакета из репозитория.

После установки всех необходимых библиотек и тулзов перейдём к сборке:

1. Выкачаем branch с тем самым волшебным плагином: git clone git://git.strongswan.org/strongswan.git xauth-noauth strongswan-git-xauth-noauth/
2. Создадим скрипты конфигурации: ./autogen.sh
3. Сконфигурируем: ./configure --prefix=/usr --sysconfdir=/etc --enable-xauth-noauth
4. Соберём пакет: sudo checkinstall -D --install=no
5. И, наконец, установим его: dpkg -i strongswan-git-xauth_5.0.3-xauth-noauth-1_amd64.deb

Не забудьте открывать на firewall"е 500 и 4500 UDP порты, т.к. через них работает IPSec.
Разрешим проброску пакетов через NAT:
iptables --table nat --append POSTROUTING --jump MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done
Наконец мы можем приступить к конфигурации.

/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification config setup conn ios keyexchange=ikev1 xauth=server leftauth=rsa rightauth=rsa rightauth2=xauth-noauth left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes leftcert=serverCert.pem right=%any rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.0/24 rightcert=clientCert.pem auto=add

/etc/ipsec.secrets

: RSA serverKey.pem

/etc/strongswan.conf

charon { # number of worker threads in charon threads = 16 dns1 = 8.8.8.8 plugins { } } libstrongswan { }
Init.d скрипт слишком длинный. Его можно будет забрать .

Установка сертификатов на iOS

Установить сертификаты (clientCert.p12 и caCert.pem) можно несколькоми способами:

• Используя iPhone Configuration Utility
• Отправив сертификаты себе по почте. И дальше получить из на iPad.
• Скачав их с помощью Safari прямо на самом устройстве.

Лично я советую использовать iPhone Configuration Utility, т.к. только там можно задать домены для которых должен быть On-Demand VPN.

Вопросы, комментарии, критика приветствуется.
Спасибо за внимание.