Certificaten genereren en exporteren - Linux (strongSwan)
In dit artikel leest u hoe u een zelfondertekend basiscertificaat maakt en clientcertificaten genereert met behulp van strongSwan. Met de stappen in deze oefening kunt u pem-bestanden voor certificaten maken. Als u in plaats daarvan PFX- en .cer-bestanden nodig hebt, raadpleegt u de Windows PowerShell-instructies.
Voor punt-naar-site-verbindingen moet voor elke VPN-client lokaal een clientcertificaat zijn geïnstalleerd om verbinding te maken. Daarnaast moet de openbare sleutelgegevens van het basiscertificaat worden geüpload naar Azure. Zie Punt-naar-site-configuratie - certificaatverificatie voor meer informatie.
StrongSwan installeren
Met de volgende stappen kunt u strongSwan installeren.
De volgende configuratie is gebruikt bij het opgeven van opdrachten:
- Computer: Ubuntu Server 18.04
- Afhankelijkheden: strongSwan
Gebruik de volgende opdrachten om de vereiste strongSwan-configuratie te installeren:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
Instructies voor Linux CLI (strongSwan)
Met de volgende stappen kunt u certificaten genereren en exporteren met behulp van de Linux CLI (strongSwan). Zie Aanvullende instructies voor het installeren van de Azure CLI voor meer informatie.
Genereer het CA-certificaat.
ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem
Druk het CA-certificaat af in base64-indeling. Dit is de indeling die wordt ondersteund door Azure. U uploadt dit certificaat naar Azure als onderdeel van de P2S-configuratiestappen.
openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo
Genereer het gebruikerscertificaat.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"
Genereer een p12-bundel met het gebruikerscertificaat. Deze bundel wordt gebruikt in de volgende stappen bij het werken met de clientconfiguratiebestanden.
openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"
Volgende stappen
Ga door met uw punt-naar-site-configuratie. Zie P2S VPN-clients configureren: certificaatverificatie - Linux.