Compartir vía


Generación y exportación de certificados: Linux (strongSwan)

En este artículo, se muestra cómo crear un certificado raíz autofirmado y generar certificados de cliente con strongSwan. Los pasos de este ejercicio le ayudarán a crear archivos .pem de certificado. Si en cambio necesita archivos .pfx y .cer, consulte las instrucciones de Windows PowerShell.

En las conexiones de punto a sitio, cada cliente VPN debe tener instalado localmente un certificado de cliente para conectarse. Además, la información de la clave pública del certificado raíz debe cargarse en Azure. Para más información, consulte Configuración de la conexión de punto a sitio: Autenticación de certificados.

Instalación de strongSwan

Los pasos siguientes le ayudarán a instalar strongSwan.

Se usó la siguiente configuración al especificar comandos:

  • Equipo: Ubuntu Server 18.04
  • Dependencias: strongSwan

Ejecute los comandos siguientes para instalar la configuración necesaria de strongSwan:

sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0

Instrucciones de la CLI de Linux (strongSwan)

Los pasos siguientes le ayudan a generar y exportar certificados mediante la CLI de Linux (strongSwan). Para más información, consulte Instrucciones adicionales para instalar la CLI de Azure.

Genere el certificado de entidad de certificación.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Imprima el certificado de entidad de certificación en formato base64. Es el formato compatible con Azure. Cargue este certificado en Azure como parte de los pasos de configuración de P2S.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Genere el certificado de usuario.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Genere un paquete p12 que contengan el certificado de usuario. Este conjunto de productos se usará en los pasos siguientes cuando se trabaje con los archivos de configuración de cliente.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Pasos siguientes

Continúe con la configuración de punto a sitio. Consulte Configuración de clientes VPN P2S: autenticación de certificados (Linux).