Справочный центр

Дерево страниц

Сравнение версий

Старая версия 15

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 16

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Сгенерировать сертификаты на сервере:

Установить расширение пакеты для создания сертификатов:

Command

sudo apt install strongswan-pki libtss2-tcti-tabrmd0

Создать закрытый ключ ca.key.pem и самоподписанный сертификат удостоверяющего центра ca.cert.pem:

...

Command

sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
  | sudo tee /etc/ipsec.d/private/server.key.pem

sudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa
  | sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem \
    --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<server static IP address>" <IP-адрес_сервера>" \
    --san=”<server static IP address>” ”<IP-адрес_сервера>” --san="<server static IP address>" <IP-адрес_сервера>" \
    --flag serverAuth --flag ikeIntermediate --outform pem \
  | sudo tee /etc/ipsec.d/certs/server.cert.pem

где <IP-адрес_сервера> – IP-адрес strongSwan-сервера.

Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !

...