Generování a export certifikátů – Linux (strongSwan)

  • Článek

V tomto článku se dozvíte, jak vytvořit kořenový certifikát podepsaný svým držitelem a vygenerovat klientské certifikáty pomocí strongSwanu. Kroky v tomto cvičení vám pomůžou vytvořit soubory .pem certifikátu. Pokud místo toho potřebujete soubory .pfx a .cer , přečtěte si pokyny pro Windows– PowerShell .

Aby bylo možné připojit připojení typu point-to-site, musí mít každý klient VPN nainstalovaný místně klientský certifikát. Informace o veřejném klíči kořenového certifikátu se navíc musí nahrát do Azure. Další informace najdete v tématu Konfigurace typu Point-to-Site – ověřování certifikátů.

Instalace strongSwanu

Následující kroky vám pomůžou nainstalovat strongSwan.

Při zadávání příkazů se použila následující konfigurace:

  • Počítač: Ubuntu Server 18.04
  • Závislosti: strongSwan

K instalaci požadované konfigurace strongSwan použijte následující příkazy:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Linux CLI – pokyny (strongSwan)

Následující kroky vám pomůžou generovat a exportovat certifikáty pomocí Linux CLI (strongSwan). Další informace najdete v dalších pokynech k instalaci Azure CLI.

Vygenerujte certifikát certifikační autority.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Vytiskněte certifikát certifikační autority ve formátu base64. Jedná se o formát, který Azure podporuje. Tento certifikát nahrajete do Azure v rámci kroků konfigurace P2S.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Vygenerujte uživatelský certifikát.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Vygenerujte sadu p12 obsahující uživatelský certifikát. Tato sada bude použita v dalších krocích při práci s konfiguračními soubory klienta.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Další kroky

Pokračujte v konfiguraci typu point-to-site. Viz Konfigurace klientů P2S VPN: Ověřování certifikátů – Linux.