Udostępnij za pośrednictwem


Generowanie i eksportowanie certyfikatów — Linux (strongSwan)

W tym artykule pokazano, jak utworzyć certyfikat główny z podpisem własnym i wygenerować certyfikaty klienta przy użyciu strongSwan. Kroki opisane w tym ćwiczeniu ułatwiają tworzenie plików pem certyfikatu. Jeśli zamiast tego potrzebujesz plików pfx i .cer , zapoznaj się z instrukcjami programu Windows - PowerShell .

W przypadku połączeń punkt-lokacja każdy klient sieci VPN musi mieć zainstalowany lokalnie certyfikat klienta. Ponadto informacje o kluczu publicznym certyfikatu głównego muszą zostać przekazane na platformę Azure. Aby uzyskać więcej informacji, zobacz Konfiguracja punkt-lokacja — uwierzytelnianie certyfikatu.

Instalowanie strongSwan

Poniższe kroki ułatwiają zainstalowanie strongSwan.

Podczas określania poleceń użyto następującej konfiguracji:

  • Komputer: Ubuntu Server 18.04
  • Zależności: strongSwan

Użyj następujących poleceń, aby zainstalować wymaganą konfigurację strongSwan:

sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0

Instrukcje interfejsu wiersza polecenia systemu Linux (strongSwan)

Poniższe kroki ułatwiają generowanie i eksportowanie certyfikatów przy użyciu interfejsu wiersza polecenia systemu Linux (strongSwan). Aby uzyskać więcej informacji, zobacz Dodatkowe instrukcje dotyczące instalowania interfejsu wiersza polecenia platformy Azure.

Wygeneruj certyfikat urzędu certyfikacji.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Wydrukuj certyfikat urzędu certyfikacji w formacie base64. Jest to format obsługiwany przez platformę Azure. Ten certyfikat należy przekazać na platformę Azure w ramach kroków konfiguracji P2S.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Wygeneruj certyfikat użytkownika.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Wygeneruj pakiet p12 zawierający certyfikat użytkownika. Ten pakiet będzie używany w następnych krokach podczas pracy z plikami konfiguracji klienta.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Następne kroki

Kontynuuj konfigurację punkt-lokacja. Zobacz Konfigurowanie klientów sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — Linux.