...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Скопировать из УЦ на клиентский узел:
-ca.cert.pem(сертификат УЦ) в каталог/etc/ipsec.d/cacerts/;
-client1.cert.pem(сертификат клиента) в домашний каталог пользователя. - Задать настройки strongSwan-клиента в файле
/etc/ipsec.conf:Блок кода config setup charondebug= ike 4, cfg 2 conn client type=tunnel auto=start keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=restart forceencaps=yes leftauth=pubkey leftcert=<токен_и_закрытый_ключ> # Например: %smartcard0@rutoken:45 # Формат значения <токен_и_закрытый_ключ> описан ниже в разделе "Настройка ... токена ...". leftsendcert=always leftsourceip=%config right=<IP-адрес_сервера> # Например: 10.192.6.108 rightid=<IP-адрес_сервера> # Например: 10.192.6.108 rightauth=pubkey rightsubnet=<виртуальная_сеть__предоставляемая_сервером> # Например: 10.1.1.0/24 # Если указать 0.0.0.0/0, то весь сетевой траффик клиента # будет "заворачиваться" в VPN-соединение (туннель). # Тогда на сервере параметру leftsubnet тоже # необходимо задать значение 0.0.0.0/0.
...
Общая информация по работе с ключевыми носителями дана в статье "Ключевые носители (токены) PKCS в Astra Linux".
...
Использование пассивного ключевого носителя
создание закрытого ключа и сертификата клиента
На клиентском узле в домашнем каталоге пользователя:
- Создать закрытый ключ клиента
client1.key.pem:Command openssl genrsa -out client1.key.pem 4096
- Создать запрос на подписание клиентского сертификата
client1.cert.csr:
где <IP-адрес_клиента> – IP-адрес клиентского узла.Command openssl req -key client1.key.pem -new -out client1.cert.csr -subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>"
- Отправить файл с запросом
client1.cert.csrна узел УЦ.
...