Я хочу настроить Strongswan / Libreswan с аутентификацией PKI. Теперь я искал и нашел только, как настроить определенные принятые клиентские сертификаты, как здесь: http://technikenity.blogspot.com/2013/06/howto-windows-8-ikev2-vpn-with.html
Я бы хотел иметь что-то вроде rightCA = companyCA.pem, которое заставило бы Strongswan принимать любой сертификат клиента, который может создать доверие к CA.
РЕДАКТИРОВАТЬ: Я также хотел бы иметь средство авторизации аутентифицированных клиентов (например, против LDAP)
Вы можете сделать это с помощью rightca
вариант. Просто настройте отличительное имя CA, для которого вы хотите принимать сертификаты клиентов.
На самом деле вам даже не нужно устанавливать этот параметр, поскольку strongSwan принимает все клиентские сертификаты, для которых он может успешно проверить цепочку доверия с помощью сертификата доверенного ЦС (т. Е. Вариант в основном заключается в ограничении клиентов конкретным ЦС, если существует несколько доверенных ЦС ).