...
- Создать закрытый ключ клиента
client1.key.pem:Command openssl genrsa -out client1.key.pem 4096
- Создать запрос на подписание клиентского сертификата
client1.cert.csr:Command openssl req -key client1.key.pem -new -out client1.cert.csr -subj "/CN=<IP-адрес_клиента>" -addext "extendedKeyUsage=clientAuth, 1.3.6.1.5.5.8.2.2" -addext "subjectAltName=IP.1:<IP-адрес_клиента>"
- Отправить файл с запросом
client1.cert.csrна узел УЦ.
...
- Подписать запрос
client1.cert.csrи сохранить подписанный сертификат клиента client1.cert.pem в каталоге/etc/ipsec.d/certs/:Command sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \
--in client1.cert.csr --type pkcs10 --flag clientAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/client1.cert.pem - Скопировать Ск
опировать подписанный сертификат клиентаclient1.cert.pemна клиентский узел в домашний каталог пользователя.
Настройка strongSwan-клиента
...