История страницы

...

Command

sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/ca.key.pem

sudo ipsec pki --self --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --ca --lifetime 3650 --outform pem \
| sudo tee /etc/ipsec.d/cacerts/ca.cert.pem

Создать для сервера: закрытый ключ server.key.pem и сертификат сервера server.cert.pem:

Command

sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/server.key.pem

sudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_сервера>" \
--san="<IP-адрес_сервера>" --san="<IP-адрес_сервера>" --flag serverAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/server.cert.pem

...

Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !

Создать для клиента: закрытый ключ client.key.pem и сертификат client.cert.pem:

Command

sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/client.key.pem

sudo ipsec pki --pub --in /etc/ipsec.d/private/client.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem \
--cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<client IP address>" \
--san="<client IP address>" --san="<client IP address>" \
--flag clientAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/client.cert.pem

Настроить strongSwan-сервер, разместив в файле /etc/ipsec.conf:

...

Предполагается, что по статье настроен: Единый доступ к ключевым носителям разных производителей.

Скопировать с сервера файл /etc/ipsec.d/cacerts/ca.cert.pem и положить туда же на клиенте

Настроить strongSwan-клиента, разместив в файле /etc/ipsec.conf:

...

Дерево страниц

Сравнение версий

Старая версия 23

Новая версия 24

Ключ