...
- Установить программы для работы с сертификатами:
Command sudo apt install strongswan strongswan-pki libtss2-tcti-tabrmd0
- Создать для удостоверяющего центра закрытый ключ
ca.key.pemи самоподписанный сертификатca.cert.pem:Command sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/ca.key.pemsudo ipsec pki --self --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --ca --lifetime 3650 --outform pem \
| sudo tee /etc/ipsec.d/cacerts/ca.cert.pem - Создать для сервера закрытый ключ
server.key.pemи сертификатserver.cert.pem:
где <IP-адрес_сервера> – IP-адрес strongSwan-сервера.Command sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/server.key.pemsudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_сервера>" \
--san="<IP-адрес_сервера>" --san="<IP-адрес_сервера>" --flag serverAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/server.cert.pem
Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка. - Создать для клиента закрытый ключ
client.key.pemи сертификатclient.cert.pem:
где <IP-адрес_клиента> – IP-адрес strongSwan-клиента.Command sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/client.key.pemsudo ipsec pki --pub --in /etc/ipsec.d/private/client.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_клиента>" \
--san="<IP-адрес_клиента>" --san="<IP-адрес_клиента>" --flag clientAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/client.cert.pem
Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка.
...