Sdílet prostřednictvím


Generování a export certifikátů – Linux (strongSwan)

Připojení typu point-to-site služby VPN Gateway můžou k ověření používat certifikáty. V tomto článku se dozvíte, jak vytvořit kořenový certifikát podepsaný svým držitelem a vygenerovat klientské certifikáty pomocí strongSwanu. Můžete také použít PowerShell nebo MakeCert.

Aby se mohl připojit, musí mít každý klient nainstalovaný místně nainstalovaný klientský certifikát. Informace o veřejném klíči kořenového certifikátu se navíc musí nahrát do Azure. Další informace najdete v tématu Konfigurace typu Point-to-Site – ověřování certifikátů.

Instalace strongSwanu

Následující kroky vám pomůžou nainstalovat strongSwan.

Při zadávání příkazů se použila následující konfigurace:

  • Počítač: Ubuntu Server 18.04
  • Závislosti: strongSwan

K instalaci požadované konfigurace strongSwan použijte následující příkazy:

sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0

Linux CLI – pokyny (strongSwan)

Následující kroky vám pomůžou generovat a exportovat certifikáty pomocí Linux CLI (strongSwan). Další informace najdete v dalších pokynech k instalaci Azure CLI.

Vygenerujte certifikát certifikační autority.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Vytiskněte certifikát certifikační autority ve formátu base64. Jedná se o formát, který Azure podporuje. Tento certifikát nahrajete do Azure v rámci kroků konfigurace P2S.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Vygenerujte uživatelský certifikát.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Vygenerujte sadu p12 obsahující uživatelský certifikát. Tato sada bude použita v dalších krocích při práci s konfiguračními soubory klienta.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Další kroky

Pokračujte v konfiguraci typu point-to-site. Viz Konfigurace klientů P2S VPN: Ověřování certifikátů – Linux.