如何在 strongswan 上将通配符证书与 ikev2 结合使用

如何在 strongswan 上将通配符证书与 ikev2 结合使用

我正在使用通配符证书。

我已经设法设置了 ikev2 协议,应用了我自己的证书,但它不适用于子域。

有没有什么解决方法或者通配符应该采用特定的格式?

答案1

也许在 2017 年,Strongswan 不支持通配符证书,但它们在 2021 年的今天肯定可以工作。对于遇到此问题的其他任何人,解决方案是更改 /etc/ipsec.conf 配置文件中“leftid”的配置。相关字段是:

conn ikev2-vpn
    left=%any
    leftid=@*.example.com
    leftcert=star_example_com.crt
    leftsendcert=always
    leftsubnet=0.0.0.0/0

请注意,“leftid”配置设置必须使用通配符名称,因为它出现在通配符证书中。

答案2

一般来说,strongSwan 不支持通配符证书(参见例如#794)。例如,如果服务器证书包含*.example.com以下内容主题替代名称扩展 strongSwan 将无法匹配vpn.example.com该内容。

如果您有多个子域,请将每个子域的 subjectAltName 扩展添加到服务器证书中。

相关内容