我正在尝试通过 VPN 隧道建立 LAN 到 LAN 的连接。远程办公室有一个 Zywall,它将负责建立与总部 Draytek 的连接。如果我使用共享密钥,我可以建立连接,但我想使用证书。
我已下载适用于 Ubuntu 的 XCA 应用程序,它允许我先创建 CA 证书,然后使用此 CA 签署“证书签名请求”。但是,我不确定我是否做对了。
更具体地说,CA 证书和证书本身应该具有哪些基本密钥/扩展密钥?现在我完全跳过选择任何密钥,但这样做对吗?
感谢所有提示和帮助!
答案1
我让它工作了。
CA 证书需要“证书签名”和“CRL 签名”密钥使用,而证书(安装在路由器中)需要“数字签名”和“密钥加密”密钥使用。
我从路由器生成证书签名请求,并使用我在 XCA 中创建的 CA 证书对其进行签名。然后,我将签名的证书重新导入路由器。此外,我还在每个路由器中将 CA 证书添加为“受信任证书”。
从此之后我的工作就变得非常好了。