Share via

Tanúsítványok létrehozása és exportálása – Linux (strongSwan)

  • Cikk

A VPN Gateway pont–hely kapcsolatok tanúsítványokkal hitelesíthetik magukat. Ez a cikk bemutatja, hogyan hozhat létre önaláírt főtanúsítványt, és hogyan hozhat létre ügyféltanúsítványokat a strongSwan használatával. A PowerShellt vagy a MakeCertet is használhatja.

Minden ügyfélnek helyileg telepített ügyféltanúsítvánnyal kell rendelkeznie a csatlakozáshoz. Emellett a főtanúsítvány nyilvános kulcsadatait fel kell tölteni az Azure-ba. További információ: Pont–hely konfiguráció – tanúsítványhitelesítés.

A strongSwan telepítése

Az alábbi lépések segítenek a strongSwan telepítésében.

A parancsok megadásakor a következő konfigurációt használták:

  • Számítógép: Ubuntu Server 18.04
  • Függőségek: strongSwan

A szükséges strongSwan-konfiguráció telepítéséhez használja az alábbi parancsokat:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Linux CLI-utasítások (strongSwan)

Az alábbi lépések segítenek tanúsítványok létrehozásában és exportálásában a Linux CLI (strongSwan) használatával. További információ: További utasítások az Azure CLI telepítéséhez.

Hozza létre a hitelesítésszolgáltatói tanúsítványt.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

A ca-tanúsítvány nyomtatása base64 formátumban. Ezt a formátumot támogatja az Azure. Ezt a tanúsítványt a P2S konfigurációs lépéseinek részeként töltheti fel az Azure-ba.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Hozza létre a felhasználói tanúsítványt.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Hozzon létre egy p12 csomagot, amely tartalmazza a felhasználói tanúsítványt. Ez a csomag az ügyfélkonfigurációs fájlok használatakor a következő lépésekben lesz használatban.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Következő lépések

Folytassa a pont–hely konfigurációval a VPN-ügyfélkonfigurációs fájlok – Linux – létrehozásához és telepítéséhez.