我正在使用通配符证书。
我已经设法设置了 ikev2 协议,应用了我自己的证书,但它不适用于子域。
有没有什么解决方法或者通配符应该采用特定的格式?
答案1
也许在 2017 年,Strongswan 不支持通配符证书,但它们在 2021 年的今天肯定可以工作。对于遇到此问题的其他任何人,解决方案是更改 /etc/ipsec.conf 配置文件中“leftid”的配置。相关字段是:
conn ikev2-vpn
left=%any
leftid=@*.example.com
leftcert=star_example_com.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
请注意,“leftid”配置设置必须使用通配符名称,因为它出现在通配符证书中。
答案2
一般来说,strongSwan 不支持通配符证书(参见例如#794)。例如,如果服务器证书包含*.example.com以下内容主题替代名称扩展 strongSwan 将无法匹配vpn.example.com该内容。
如果您有多个子域,请将每个子域的 subjectAltName 扩展添加到服务器证书中。