É possível usar o certificado da CA pública para o IKEv2 sem importar o certificado intermediário?

1

Eu configurei o ikev2 vpn em um servidor strongswan e em um cliente Windows 10, e ele funciona bem. O método de autorização é leftauth=pubkey e rightauth=eap-mschapv2 .

Como o comando leftcert para autorizar um servidor é autoassinado, preciso importar o certificado CA na máquina, o que é um pouco complicado. Então, pergunto-me se posso usar um certificado de uma autoridade de certificação pública para que eu não precise importar na máquina cliente.

Eu tentei colocar o certificado da CA raiz e o CA da Intermediate em ipsec.d/cacerts no servidor, mas o cliente continua recebendo erro 13801 . Depois de instalar o certificado intermediário na máquina cliente, ele funciona muito bem. Obviamente, o erro 13801 é devido ao certificado intermediário não importado.

Existe alguma maneira de configurar o servidor para que o cliente não precise importar o certificado intermediário?

    
por limilaw 27.11.2015 / 16:30

1 resposta

1

Sim, eu acredito que você pode fazer isso. Se você verificar este tutorial do IKEV2 esse cara está dizendo uma maneira de usar o Vamos para o certificado em vez de usando um certificado privado. Conforme indicado na seção Servidor VPN no Leiame:

The VPN server identifies itself with a Let's Encrypt certificate, so there's no need for clients to install private certificates — they can simply authenticate with username and password (EAP-MSCHAPv2).

Você precisa instalar um certificado público no seu servidor seguindo isso .

Para saber como usar este certificado, marque setup.sh no tutorial IKEV2 acima mencionado

mkdir -p /etc/letsencrypt
ln -f -s /etc/letsencrypt/live/$VPNHOST/cert.pem    /etc/ipsec.d/certs/cert.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/privkey.pem /etc/ipsec.d/private/privkey.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/chain.pem   /etc/ipsec.d/cacerts/chain.pem

Por favor, vá até o ** setup.sh ** usando sua configuração anterior do servidor IKEV2 (strongswan) para entender completamente o script.

    
por 04.04.2018 / 13:39