strongswan签发ecdsa证书-mfc42d-ChinaUnix博客

邢红瑞的bloghongrui.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

mfc42d

博客访问： 4233100
博文数量： 447
博客积分： 1241
博客等级：中尉
技术积分： 5786
用户组：普通用户
注册时间： 2011-01-27 06:48

个人简介

读好书，交益友

文章分类

全部博文（447）

前端技术（5）
docker&vm（11）
embedded（9）

RaspBerry P（1）

yocto（2）

buildroot（3）

openwrt（1）
openwrt（17）
ffmpeg（3）
极限健身（5）
外语学习（8）
big data（6）

elasticsearch（2）
移动平台（8）

android（5）
scala（3）
网络安全（20）

态势感知（1）
EDM（7）
编程语言（96）

rust（3）

golang（1）

javascript（1）

groovy（1）

javascript（1）

perl（4）

python（16）

java（32）

c++（34）
数据库（37）
编程感悟（21）
并发（1）
nginx（12）
工具使用（33）
生活杂事（21）
linux（92）

ebpf（1）
windows编程（14）
PKI（15）
IT职场（3）
未分配的博文（0）

文章存档

2024年（1）

2023年（5）

2022年（29）

2021年（49）

2020年（16）

2019年（15）

2018年（23）

2017年（67）

2016年（42）

2015年（51）

2014年（57）

2013年（52）

2012年（35）

2011年（5）

我的朋友

相关博文

strongswan签发ecdsa证书

分类：网络与安全

2018-10-12 11:07:20

ipsec pki --gen --type ecdsa --size 256 > /etc/ipsec.d/private/caKey.key
出现错误
building CRED_PRIVATE_KEY - ECDSA failed, tried 2 builders
编译时加上 --enable-openssl

ipsec pki --self --ca --in /etc/ipsec.d/private/caKey.key --type ecdsa --digest sha512 --outform pem --dn "C=US, O=IPSec VPN, CN=IPSec VPN Certificate Authority" > /etc/ipsec.d/cacerts/caCert.cer
创建两个私钥
ipsec pki --gen --type ecdsa --size 256 > /etc/ipsec.d/private/ubuntu-red.key
ipsec pki --gen --type ecdsa --size 256 > /etc/ipsec.d/private/ubuntu-blue.key

创建公钥
ipsec pki --pub --type ecdsa --in /etc/ipsec.d/private/ubuntu-red.key | ipsec pki --issue --outform pem --digest sha512 --cacert /etc/ipsec.d/cacerts/caCert.cer --cakey /etc/ipsec.d/private/caKey.key --dn "C=US, O=IPSec VPN, CN=ubuntu-red" --san ubuntu-red > /etc/ipsec.d/certs/ubuntu-red.cer
ipsec pki --pub --type ecdsa --in /etc/ipsec.d/private/ubuntu-blue.key | ipsec pki --issue --outform pem --digest sha512 --cacert /etc/ipsec.d/cacerts/caCert.cer --cakey /etc/ipsec.d/private/caKey.key --dn "C=US, O=IPSec VPN, CN=ubuntu-blue" --san ubuntu-blue > /etc/ipsec.d/certs/ubuntu-blue.cer

假设服务器为red
编辑/etc/ipsec.conf
添加
conn red-to-blue
keyexchange=ikev2
rekey=no
left=%defaultroute
leftsubnet=0.0.0.0/0
authby=pubkey
auto=add
leftid=@ubuntu-red
leftcert=ubuntu-red.cer
right=%any
rightsubnet=192.168.2.0/24
rightid=@ubuntu-blue
type=tunnel

编辑 ipsec.secrets
: ECDSA /etc/ipsec.d/private/ubuntu-red.key

copy 根证私钥公钥到相应目录
编辑 ipsec.secrets
: ECDSA /etc/ipsec.d/private/ubuntu-blue.key

编辑 /etc/ipsec.conf
conn blue-to-red
keyexchange=ikev2
rekey=no
left=%defaultroute
leftsubnet=0.0.0.0/0
authby=pubkey
leftid=@ubuntu-blue
leftcert=ubuntu-blue.cer
rightid=@ubuntu-red
right=47.93.216.68
rightsubnet=172.17.94.120/20
type=tunnel
auto=start

阅读(2089) | 评论(0) | 转发(0) |

上一篇：ubuntu下安装chrome

下一篇：ubuntu下安装jzmq

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6