Eu gostaria de configurar o Strongswan / Libreswan com autenticação PKI. Agora pesquisei e encontrei apenas como configurar certificados de clientes aceitos específicos, como aqui: link
O que eu gostaria de fazer é ter algo como rightCA = companyCA.pem Isso faria com que o Strongswan aceitasse qualquer certificado de cliente que pudesse criar confiança até a CA.
EDIT: Eu também gostaria de ter um meio de autorizar os clientes autenticados (por exemplo, contra o LDAP)
Você pode fazer exatamente isso com a opção rightca . Basta configurar o nome distinto da autoridade de certificação para o qual você deseja aceitar certificados de clientes.
Na verdade, você nem precisa configurar essa opção, pois strongSwan aceita todos os certificados de cliente para os quais é possível verificar com êxito a cadeia de confiança para um certificado CA confiável (ou seja, a opção é restringir os clientes a uma CA específica, se houver várias CAs confiáveis).
Tags vpn ipsec openswan x509 strongswan