Я настроил ikev2 vpn на сервере strongswan и клиенте Windows 10, и он отлично работает.
Метод авторизации: leftauth = pubkey
и rightauth = eap-mschapv2
.
Поскольку leftcert для авторизации сервера является самоподписанным, мне нужно импортировать сертификат CA на машину , что немного сложно. Затем мне интересно, могу ли я использовать сертификат из общедоступного центра сертификации, чтобы мне не нужно было импортировать его на клиентском компьютере.
Я попытался поместить сертификат корневого центра сертификации и сертификат промежуточного центра сертификации в ipsec.d / cacerts
на сервере, но клиент продолжает получать ошибку 13801 . После установки промежуточного сертификата на клиентском компьютере он работает нормально. Очевидно, ошибка 13801 связана с тем, что промежуточный сертификат не импортирован.
Есть ли способ настроить сервер так, чтобы клиенту не приходилось импортировать промежуточный сертификат?
Да, я верю, что вы можете это сделать. Если вы посмотрите этот учебник IKEV2 , этот парень говорит, как использовать Позволяет зашифровать сертификат вместо использования частного сертификата. Как указано в разделе о VPN-сервере в Readme:
VPN-сервер идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты - они могут просто аутентифицироваться с помощью имени пользователя и пароля (EAP-MSCHAPv2).
Вам необходимо установить общедоступный сертификат на свой сервер, следуя this .
Чтобы узнать, как использовать этот сертификат, проверьте setup.sh в приведенном выше руководстве IKEV2
mkdir -p /etc/letsencrypt
ln -f -s /etc/letsencrypt/live/$VPNHOST/cert.pem /etc/ipsec.d/certs/cert.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/privkey.pem /etc/ipsec.d/private/privkey.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/chain.pem /etc/ipsec.d/cacerts/chain.pem
Пожалуйста, просмотрите ** setup.sh **, используя свои предыдущие знания конфигурации сервера IKEV2 (strongswan), чтобы полностью понять сценарий.