Я настроил ikev2 vpn на сервере strongswan и на клиенте Windows 10, и он отлично работает. Метод авторизации leftauth=pubkey
и rightauth=eap-mschapv2
.
Поскольку leftcert для авторизации сервера является самоподписанным, мне нужно импортировать сертификат CA на машину, что немного сложно. Затем мне интересно, могу ли я использовать сертификат из общедоступного центра сертификации, чтобы мне не нужно было импортировать его на клиентскую машину.
Я попытался вставить сертификат корневого центра сертификации и сертификат промежуточного центра сертификации. ipsec.d/cacerts
на сервере, но клиент продолжает получать 13801 ошибка . После установки промежуточного сертификата на клиентском компьютере он работает нормально. Очевидно, ошибка 13801 связана с тем, что промежуточный сертификат не импортирован.
Есть ли способ настроить сервер так, чтобы клиенту не нужно было импортировать промежуточный сертификат?
Да, я верю, что ты можешь это сделать. Если вы проверите это IKEV2 учебник этот парень говорит способ использовать Позволяет зашифровать сертификат вместо использования частного сертификата. Как указано в разделе о VPN-сервере в Readme:
Сервер VPN идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты - они могут просто аутентифицироваться с помощью имени пользователя и пароля (EAP-MSCHAPv2).
Вам необходимо установить публичный сертификат на свой сервер после этот.
Чтобы узнать, как использовать этот сертификат, отметьте setup.sh по приведенному выше учебнику IKEV2
mkdir -p /etc/letsencrypt
ln -f -s /etc/letsencrypt/live/$VPNHOST/cert.pem /etc/ipsec.d/certs/cert.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/privkey.pem /etc/ipsec.d/private/privkey.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/chain.pem /etc/ipsec.d/cacerts/chain.pem
Пожалуйста, пройдите ** setup.sh **, используя свои предыдущие знания конфигурации сервера IKEV2 (strongswan), чтобы полностью понять сценарий.