Назад | Перейти на главную страницу

Можно ли использовать сертификат из общедоступного центра сертификации для IKEv2 без импорта промежуточного сертификата?

Я настроил ikev2 vpn на сервере strongswan и на клиенте Windows 10, и он отлично работает. Метод авторизации leftauth=pubkey и rightauth=eap-mschapv2.

Поскольку leftcert для авторизации сервера является самоподписанным, мне нужно импортировать сертификат CA на машину, что немного сложно. Затем мне интересно, могу ли я использовать сертификат из общедоступного центра сертификации, чтобы мне не нужно было импортировать его на клиентскую машину.

Я попытался вставить сертификат корневого центра сертификации и сертификат промежуточного центра сертификации. ipsec.d/cacerts на сервере, но клиент продолжает получать 13801 ошибка . После установки промежуточного сертификата на клиентском компьютере он работает нормально. Очевидно, ошибка 13801 связана с тем, что промежуточный сертификат не импортирован.

Есть ли способ настроить сервер так, чтобы клиенту не нужно было импортировать промежуточный сертификат?

Да, я верю, что ты можешь это сделать. Если вы проверите это IKEV2 учебник этот парень говорит способ использовать Позволяет зашифровать сертификат вместо использования частного сертификата. Как указано в разделе о VPN-сервере в Readme:

Сервер VPN идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты - они могут просто аутентифицироваться с помощью имени пользователя и пароля (EAP-MSCHAPv2).

Вам необходимо установить публичный сертификат на свой сервер после этот.

Чтобы узнать, как использовать этот сертификат, отметьте setup.sh по приведенному выше учебнику IKEV2

mkdir -p /etc/letsencrypt
ln -f -s /etc/letsencrypt/live/$VPNHOST/cert.pem    /etc/ipsec.d/certs/cert.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/privkey.pem /etc/ipsec.d/private/privkey.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/chain.pem   /etc/ipsec.d/cacerts/chain.pem

Пожалуйста, пройдите ** setup.sh **, используя свои предыдущие знания конфигурации сервера IKEV2 (strongswan), чтобы полностью понять сценарий.