إنشاء وتصدير الشهادات - Linux (strongSwan)
يمكن للاتصالات من نقطة إلى موقع لبوابة VPN استخدام الشهادات للمصادقة. توضح لك هذه المقالة كيفية إنشاء شهادة جذر موقعة ذاتيًا وإنشاء شهادات العميل باستخدام strongSwan. يمكنك أيضًا استخدام PowerShell أو MakeCert.
لابد أن يكون لدى كل عميل شهادة عميل مثبتة محليا للاتصال. بالإضافة إلى ذلك، لابد من تحميل معلومات المفتاح العام للشهادة الجذر إلى Azure. لمزيد من المعلومات، راجع تكوين من نقطة إلى موقع - مصادقة الشهادة.
تثبيت strongSwan
الخطوات التالية تساعدك على تثبيت strongSwan.
تم استخدام التكوين التالي عند تحديد الأوامر:
- الكمبيوتر: Ubuntu Server 18.04
- التبعيات: strongSwan
استخدم الأوامر التالية لتثبيت تكوين strongSwan المطلوب:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
تعليمات Linux CLI (strongSwan)
الخطوات التالية تساعدك على إنشاء الشهادات وتصديرها باستخدام Linux CLI (strongSwan). لمزيد من المعلومات، راجع إرشادات إضافية لتثبيت Azure CLI.
إنشاء شهادة المرجع المصدق.
ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem
طباعة شهادة المرجع المصدق بتنسيق base64. هذا هو التنسيق الذي يدعمه Azure. يمكنك تحميل هذه الشهادة إلى Azure كجزء من خطوات تكوين P2S.
openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo
إنشاء شهادة المستخدم.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"
يمكنك إنشاء مجموعة p12 تحتوي على شهادة المستخدم. وسيتم استخدام هذه المجموعة في الخطوات التالية عند العمل باستخدام ملفات تكوين العميل.
openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"
الخطوات التالية
تابع خطوات التكوين من نقطة إلى موقع لـ إنشاء وتثبيت ملفات تكوين عميل VPN.