Windows 8 и флаг EKU serverAuth SSL?
Проверьте свой брандмауэр. При использовании selinux попытайтесь изменить его в разрешающем режиме. Если эта твердость запрещенные 403, необходимо изменить некоторые политики selinux для воздержаний доступа к веб-страницам.
Сертификат - это, по сути, открытый ключ вашего сервера (с несколькими дополнительными полями), подписанный вашим центром сертификации. Файл сертификата традиционно имеет расширение .crt и имеет формат:
-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----
Под «шлюзом» они ссылаются на ваш шлюз IPSec.
ipsec pki --self используется для создания самоподписанного сертификата . Это означает, что сертификат подписан закрытым ключом, который соответствует открытому ключу, содержащемуся в сертификате. Это можно использовать для любого сертификата, а не только для сертификатов CA, но для этого требуется, чтобы сертификат был установлен на всех хостах, которые должны ему доверять.
ipsec pki --issue с другой стороны, использует другой ключ для подписи сертификаты. Его основное предназначение - для CA выпускать / подписывать сертификаты конечных объектов (или сертификаты промежуточного CA ). Это упрощает развертывание, поскольку вам просто нужно установить сертификат ЦС, чтобы доверять всем сертификатам, выпущенным этим ЦС.
Поскольку обе команды создают новые сертификаты, флаг расширенного использования ключа serverAuth ( - флаг serverAuth ) является допустимым вариантом для обоих. Какую команду использовать для создания сертификатов конечных объектов - решать вам, для упрощения развертывания рекомендуется второй вариант.
Аналогично, - san ... Опция, упомянутая в учебнике, добавляет расширение subjectAltName к сертификату, поэтому его также можно использовать с обеими командами.