Bagikan melalui

Membuat dan mengekspor sertifikat - Linux (strongSwan)

  • Artikel

Artikel ini menunjukkan cara membuat sertifikat root yang ditandatangani sendiri dan membuat sertifikat klien menggunakan strongSwan. Langkah-langkah dalam latihan ini membantu Anda membuat file .pem sertifikat. Jika Anda memerlukan file .pfx dan .cer , lihat instruksi Windows- PowerShell .

Untuk koneksi titik-ke-situs, setiap klien VPN harus memiliki sertifikat klien yang diinstal secara lokal untuk menyambungkan. Selain itu, informasi kunci publik sertifikat akar harus diunggah ke Azure. Untuk informasi selengkapnya, lihat Konfigurasi titik-ke-situs - autentikasi sertifikat.

Pasang strongSwan

Langkah-langkah berikut membantu Anda menginstal strongSwan.

Konfigurasi berikut digunakan saat menentukan perintah:

  • Komputer: Ubuntu Server 18.04
  • Dependensi: strongSwan

Gunakan perintah berikut untuk memasang konfigurasi strongSwan yang diperlukan:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Instruksi CLI Linux (strongSwan)

Langkah-langkah berikut membantu Anda membuat dan mengekspor sertifikat menggunakan Linux CLI (strongSwan). Untuk informasi selengkapnya, lihat Petunjuk tambahan untuk menginstal Azure CLI.

Buat sertifikat CA.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Cetak sertifikat CA dalam format base64. Ini adalah format yang didukung oleh Azure. Anda mengunggah sertifikat ini ke Azure sebagai bagian dari langkah-langkah konfigurasi P2S.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Buat sertifikat pengguna.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Buat bundel p12 yang berisi sertifikat pengguna. Bundel ini akan digunakan pada langkah berikutnya saat bekerja dengan file konfigurasi klien.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Langkah berikutnya

Lanjutkan dengan konfigurasi titik-ke-situs Anda. Lihat Mengonfigurasi klien VPN P2S: autentikasi sertifikat - Linux.