Share via

Certificaten genereren en exporteren - Linux (strongSwan)

  • Artikel

In dit artikel leest u hoe u een zelfondertekend basiscertificaat maakt en clientcertificaten genereert met behulp van strongSwan. Met de stappen in deze oefening kunt u pem-bestanden voor certificaten maken. Als u in plaats daarvan PFX- en .cer-bestanden nodig hebt, raadpleegt u de Windows PowerShell-instructies.

Voor punt-naar-site-verbindingen moet voor elke VPN-client lokaal een clientcertificaat zijn geïnstalleerd om verbinding te maken. Daarnaast moet de openbare sleutelgegevens van het basiscertificaat worden geüpload naar Azure. Zie Punt-naar-site-configuratie - certificaatverificatie voor meer informatie.

StrongSwan installeren

Met de volgende stappen kunt u strongSwan installeren.

De volgende configuratie is gebruikt bij het opgeven van opdrachten:

  • Computer: Ubuntu Server 18.04
  • Afhankelijkheden: strongSwan

Gebruik de volgende opdrachten om de vereiste strongSwan-configuratie te installeren:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Instructies voor Linux CLI (strongSwan)

Met de volgende stappen kunt u certificaten genereren en exporteren met behulp van de Linux CLI (strongSwan). Zie Aanvullende instructies voor het installeren van de Azure CLI voor meer informatie.

Genereer het CA-certificaat.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Druk het CA-certificaat af in base64-indeling. Dit is de indeling die wordt ondersteund door Azure. U uploadt dit certificaat naar Azure als onderdeel van de P2S-configuratiestappen.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Genereer het gebruikerscertificaat.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Genereer een p12-bundel met het gebruikerscertificaat. Deze bundel wordt gebruikt in de volgende stappen bij het werken met de clientconfiguratiebestanden.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Volgende stappen

Ga door met uw punt-naar-site-configuratie. Zie P2S VPN-clients configureren: certificaatverificatie - Linux.