Я успешно скомпилировал и установил strongswan ipsec vpn, о чем свидетельствует успешный запуск службы:
as3:~# ipsec restart Stopping strongSwan IPsec... Starting strongSwan 5.0.4 IPsec [starter]... as3:~#
Когда я запускаю команду ipsec pki --gen --outform pem > caKey.pem Я вижу ошибку:
as3:~# ipsec pki --gen --outform pem > caKey.pem openssl FIPS mode(0) unavailable as3:~#
Что означает "openssl FIPS mode (0) unavailable"? Как это исправить?
Это сообщение регистрируется в strongSwan 5.0.4, если OpenSSL не скомпилирован с Режим FIPS включен, то есть если OPENSSL_FIPS не определено в openssl/opensslconf.h.
В будущих выпусках он будет регистрироваться только в том случае, если пользователь действительно хочет использовать OpenSSL в режиме FIPS, либо путем установки
--with-fips-mode=MODE
where MODE is either 0 (disabled, default), 1 (enabled), or 2 (Suite B enabled)
в течение ./configure или установив
libstrongswan.plugins.openssl.fips_mode
same values as above, the default is also 0.
в strongswan.conf к значению != 0.
Поэтому, если вы не хотите использовать OpenSSL в режиме FIPS, как указано в (0) в опубликованном вами сообщении журнала вы можете проигнорировать это сообщение.
Похоже, вы пропустили плагин openssl fips mode при компиляции strongswan.
libstrongswan.plugins.openssl.fips_mode
Установите режим OpenSSL FIPS: отключен (0), включен (1), Suite B включен (2). По умолчанию используется значение, настроенное с параметром --with-fips-mode
Вы можете перекомпилировать strongswan или внести изменения в конфигурацию openssl:
# Default section
XXXX_conf = XXXX_options
...
[ XXXX_options ]
alg_section = algs
...
[ algs ]
fips_mode = yes
...