我想使用 PKI 身份验证设置 Strongswan/Libreswan。现在我搜索了一下,只找到了如何配置特定的已接受客户端证书,如下所示: http://technikenity.blogspot.com/2013/06/howto-windows-8-ikev2-vpn-with.html
我想要做的是使用类似 rightCA=companyCA.pem 这样的命令,这样 Strongswan 就可以接受任何可以与 CA 建立信任的客户端证书。
编辑:我还想有一种授权经过身份验证的客户端的方法(例如针对 LDAP)
答案1
您可以使用该选项来实现这一点rightca。只需配置您要接受客户端证书的 CA 的专有名称即可。
实际上您甚至不必设置该选项,因为 strongSwan 接受所有可以成功验证信任链到受信任的 CA 证书的客户端证书(即,如果存在多个受信任的 CA,该选项主要是将客户端限制到特定的 CA)。