Справочный центр

Дерево страниц

Сравнение версий

Старая версия 41

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 42

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Создание закрытых ключей и сертификатов

Вначале создаётся самоподписанный сертификат удостоверяющего центра (УЦ). Затем с помощью сертификата УЦ создаются сертификаты для сервера и клиента.

В качестве УЦ – для создания и хранения сертификатов и их ключей – может использоваться любой узелКлючи и сертификаты могут быть созданы и храниться на любом узле. Для аутентификации пользователей сертификаты и ключи и сертификаты необходимо разместить скопировать в определённых каталогах определённые каталоги на сервере и клиенте.

Далее предполагается, что сертификаты и ключи и сертификаты создаются на сервере в подкаталогах каталога каталога /etc/ipsec.d/.На любом узле:

  1. Установить программы для работы с сертификатами:
    Command

    sudo apt install strongswan strongswan-pki libtss2-tcti-tabrmd0

  2. Создать для удостоверяющего центра закрытый

...

  1. ключ ca.key.pem и самоподписанный сертификат

...

  1. ca.cert.pem:
    Command

    sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/ca.key.pem

    sudo ipsec pki --self --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --ca --lifetime 3650 --outform pem \
      | sudo tee /etc/ipsec.d/cacerts/ca.cert.pem

  2. Создать для сервера

...

  1. закрытый ключ server.key.pem и сертификат server.cert.pem:
    Command

    sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/server.key.pem

    sudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
      | sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_сервера>" \
        --san="<IP-адрес_сервера>" --san="<IP-адрес_сервера>" --flag serverAuth --flag ikeIntermediate --outform pem \
      | sudo tee /etc/ipsec.d/certs/server.cert.pem

    где <IP-адрес_сервера> – IP-адрес strongSwan-сервера.
    Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка

...

  1. .

  2. Создать для клиента

...

  1.  закрытый ключ client.key.pem и сертификат client.cert.pem:
    Command

    sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/client.key.pem

    sudo ipsec pki --pub --in /etc/ipsec.d/private/client.key.pem --type rsa \
      | sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=

...

  1. <IP-адрес_

...

  1. клиента>" \
        --san="

...

  1. <IP-адрес_

...

  1. клиента>" --san="

...

  1. <IP-адрес_

...

  1. клиента>" --flag clientAuth --flag ikeIntermediate --outform pem \
      | sudo tee /etc/ipsec.d/certs/client.cert.pem

    где <IP-адрес_клиента>

...

  1. – IP-адрес strongSwan-клиента.
    Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка

...

  1. .

Настройка strongSwan-сервера

...