...
Возможным решением проблемы может быть дублирование параметра "--san" и "-addext" в командах создания сертификатов сервера и клиента.:
- Команда для создания сертификата сервера
server.cert.pem:Command sudo pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
| sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \
--dn "CN=<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --flag serverAuth --outform pem \
| sudo tee /etc/ipsec.d/certs/server.cert.pem - Команда для создания сертификата клиента client1.cert.csr при использовании пассивного ключевого носителя:
Command openssl req -key client1.key.pem -new -out client1.cert.csr \
-subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>" - Команда для создания сертификата клиента client1.cert.csr при использовании активного ключевого носителя:
Command openssl req -new -engine pkcs11 -keyform engine -out client1.cert.csr \
-key pkcs11:id="%<идентификатор_ключевой_пары>" \
-subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>"