我编译并安装strongswan ipsec vpn成功了,服务启动成功就证明了这一点:
as3:~# ipsec restart Stopping strongSwan IPsec... Starting strongSwan 5.0.4 IPsec [starter]... as3:~#
当我运行命令时ipsec pki --gen --outform pem > caKey.pem,看到错误:
as3:~# ipsec pki --gen --outform pem > caKey.pem openssl FIPS mode(0) unavailable as3:~#
“openssl FIPS mode(0) unavailable”是什么意思?如何修复?
答案1
如果 OpenSSL 未使用以下方式编译,则会在 strongSwan 5.0.4 中记录此消息FIPS 模式已启用,即如果OPENSSL_FIPS在中未定义openssl/opensslconf.h。
在未来的版本中,只有当用户确实想在 FIPS 模式下使用 OpenSSL 时,才会记录该信息,方法是设置
--with-fips-mode=MODE
where MODE is either 0 (disabled, default), 1 (enabled), or 2 (Suite B enabled)
期间。/配置或者通过设置
libstrongswan.plugins.openssl.fips_mode
same values as above, the default is also 0.
在strongswan.conf为某个值!= 0。
(0)因此,如果您不想在 FIPS 模式下使用 OpenSSL,如您发布的日志消息所示,您可以放心地忽略此消息。
答案2
看来您在编译 strongswan 时错过了 openssl fips 模式插件。
libstrongswan.plugins.openssl.fips_mode
设置 OpenSSL FIPS 模式:禁用 (0)、启用 (1)、启用 Suite B (2)。默认为使用 --with-fips-mode 选项配置的值
您可以重新编译 strongswan,或者更改 openssl 配置:
# Default section
XXXX_conf = XXXX_options
...
[ XXXX_options ]
alg_section = algs
...
[ algs ]
fips_mode = yes
...