Аутентификация с открытым ключом с strongswan
У меня есть две системы r1 и r2, и я хочу установить туннель ESP между ними с Strongswan с помощью аутентификации с открытым ключом. Я генерировал открытые ключи, хранилище в r1-pub.pem и r2-pub.pem соответственно, в обоих системы с помощью openssl.
Теперь мой ipsec.conf файл похож на это в системе r1
conn host-host-rsa
left=1.1.1.1
leftsubnet=192.168.10.0/24
leftid=@moon.strongswan.org
leftauth=pubkey
leftrsasigkey=/root/r1-pub.pem
right=2.2.2.2
rightsubnet=192.168.20.0/24
rightid=@sun.strongswan.org
rightauth=pubkey
rightrsasigkey=/root/r2-pub.pem
type=tunnel
auto=add
и в системе r2, конфигурация
conn host-host-rsa
left=2.2.2.2
leftsubnet=192.168.20.0/24
leftid=@sun.strongswan.org
leftauth=pubkey
leftrsasigkey=/root/r2-pub.pem
right=1.1.1.1
rightsubnet=192.168.10.0/24
rightid=@moon.strongswan.org
rightauth=pubkey
rightrsasigkey=/root/r1-pub.pem
type=tunnel
auto=add
Теперь при запуске ipsec на r1, я получаю эту ошибку
Starting strongSwan 5.1.2 IPsec [starter]...
00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-32-generic, x86_64)
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity addrblock
00[LIB] unable to load 5 plugin features (5 due to unmet dependencies)
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
charon (607) started after 300 ms
04[CFG] received stroke: add connection 'host-host-rsa'
04[LIB] building CRED_CERTIFICATE - TRUSTED_PUBKEY failed, tried 0 builders
04[CFG] loading public key for "moon.strongswan.org" from '/root/r1-pub.pem' failed
04[LIB] building CRED_CERTIFICATE - TRUSTED_PUBKEY failed, tried 0 builders
04[CFG] loading public key for "sun.strongswan.org" from '/root/r2-pub.pem' failed
04[CFG] added configuration 'host-host-rsa'
Я не знаю, почему эта загружающаяся ошибка с открытым ключом происходит. Любая справка будет цениться.
Для использования необработанных открытых ключей необходим плагин pubkey . Если вы указали charon.load в strongswan.conf , обязательно включите этот плагин в список. Если вы этого не сделали, значит, вы либо не создали плагин, либо ваш дистрибутив не предоставляет его. В обоих случаях вам придется перестроить strongSwan из исходников с соответствующими параметрами ./ configure .