1 votos

strongSwan autoridad de certificación intermedia de VPN

He estado probando strongSwan VPN en un servidor Linux en un dominio Active Directory de Windows.

Me las he arreglado para conseguir un nivel único de PKI con autenticación EAP para trabajar, pero cuando intento agregar un certificado intermedio de la autoridad para la instalación conexión a la VPN de falla.

El VPN y CA son Debian 9 cajas.

Ya he tomado todo este dominio de prueba hacia abajo y estoy listo para empezar de cero y me estaba preguntando si alguien había ninguna entrada en lo que yo podría estar haciendo mal.

Aquí están los comandos que corrió a crear el CAs y el servidor de par de claves.

La creación de CA root de la clave privada:

$ ipsec pki --gen --type rsa --size 4096 --outform pem > ca.key.pem
$ chmod 600 ca.key.pem

Crear certificado autofirmado:

$ ipsec pki --self --flag serverAuth --in ca.key.pem \ 
  --type rsa --digest sha256 \
  --dn "C=US, O=IT_Testing, CN=VPN Root CA" --ca > ca.crt.der

Crear la CA intermedia clave privada:

$ ipsec pki --gen --type rsa --size 4096 --outform pem > intca.key.pem

Generar CA intermedia de la RSE:

$ ipsec pki --pub --in intca.key.pem --type rsa >  intca.csr

Señal de CA intermedia de la RSE:

$ ipsec pki --issue --cacert ca.crt.der \ 
  --cakey ca.key.pem --digest sha256 \
  --dn "C=US, O=IT_Testing, CN=INT CA" \
  --san "intca.testdomain.com" --flag serverAuth \ 
  --flag ikeIntermediate --outform pem \
  < intca.csr > intca.crt.pem

Crear el servidor VPN de clave privada y de la RSE:

$ ipsec pki --gen --type rsa --size 2048 --outform pem > vpn.testdomain.com.key.pem

$ ipsec pki --pub --in vpn.testdomian.com.key.pem --type rsa > vpn.testdomain.com.csr

Firmar el certificado de servidor VPN:

$ ipsec pki --issue --cacert intca.crt.pem \ 
  --cakey intca.key.pem --digest sha256 \
  --dn "C=US, O=IT_Testing, CN=vpn.testdomain.com" \
  --san "vpn.testdomain.com" --flag serverAuth --outform pem \
  < vpn.testdomain.com.csr > vpn.testdomain.com.crt.pem

Puedo copiar el certificado de CA root a /etc/ipsec.d/cacerts, el VPN certificado a /etc/ipsec.d/certs, y el servidor VPN de clave a /etc/ipsec.d/private.

Yo agregue la línea leftcert=/etc/ipsec.d/certs/vpn.testdomain.com.crt.pem a ipsec.conf. Así como el punto de ipsec.secrets , el VPN clave privada del servidor.

El resto de la configuración es el mismo que el trabajo de un solo nivel de la pki.

3voto

ecdsa Puntos 695

Cuando se emita el certificado de la CA intermedia, asegúrese de agregar --ca a la línea de comandos para agregar el CA basicConstraint y crear realmente un certificado de CA.

Y no añadir el serverAuth y ikeIntermediate banderas, sólo agregar el certificado de servidor. ikeIntermediate no se refiere a los certificados intermedios de CA, pero IPsec sistemas intermedios, y es probable que no sea necesario añadir nada más (sólo se define en un proyecto y creo que la única versión muy antigua de macOS necesario).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: