Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menunjukkan cara membuat sertifikat root yang ditandatangani sendiri dan membuat sertifikat klien menggunakan strongSwan. Langkah-langkah dalam latihan ini membantu Anda membuat file sertifikat .pem. Jika Anda memerlukan file .pfx dan .cer , lihat instruksi Windows- PowerShell .
Untuk koneksi titik-ke-situs, setiap klien VPN harus memiliki sertifikat klien yang diinstal secara lokal untuk menyambungkan. Selain itu, informasi kunci publik sertifikat akar harus diunggah ke Azure. For more information, see P2S User VPN configuration - certificate authentication.
Install strongSwan
Langkah-langkah berikut membantu Anda menginstal strongSwan.
Konfigurasi berikut digunakan saat menentukan perintah:
- Komputer: Ubuntu Server 18.04
- Dependencies: strongSwan
Gunakan perintah berikut untuk memasang konfigurasi strongSwan yang diperlukan:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
Instruksi CLI Linux (strongSwan)
Langkah-langkah berikut membantu Anda membuat dan mengekspor sertifikat menggunakan Linux CLI (strongSwan). Untuk informasi selengkapnya, lihat Petunjuk tambahan untuk menginstal Azure CLI.
Buat sertifikat CA.
ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem
Cetak sertifikat CA dalam format base64, format yang didukung Azure. Anda mengunggah sertifikat ini ke Azure sebagai bagian dari langkah-langkah konfigurasi P2S.
openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo
Buat sertifikat pengguna.
Nota
Microsoft menyarankan agar Anda menggunakan alur autentikasi paling aman yang tersedia. Alur autentikasi yang dijelaskan dalam prosedur ini memerlukan tingkat kepercayaan yang sangat tinggi dalam aplikasi, dan membawa risiko yang tidak ada di alur lain. Anda hanya boleh menggunakan alur ini ketika alur lain yang lebih aman, seperti identitas terkelola, tidak layak.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"
Buat bundel p12 yang berisi sertifikat pengguna. Bundel ini akan digunakan pada langkah berikutnya saat bekerja dengan file konfigurasi klien.
openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"
Langkah berikutnya
Continue with your point-to-site configuration. Lihat Mengonfigurasi klien VPN P2S: autentikasi sertifikat - Linux.