我正在尝试在我的强天鹅服务器上使用 letsencrypt 证书;但我也在自己的内部 CA 上看到这种行为。
当尝试从 Windows 10 主机连接到强大的 Swan 实例时,Windows 主机会显示一条非常有用的错误消息,即“IKE 身份验证凭据不可接受”。
当我安装中间的将证书颁发机构证书粘贴到 Windows 主机上,一切都连接正常。当我在客户端上没有中间证书时(但它在 Strong Swan 服务器上的 cacerts 文件夹中),我收到错误。
所以在我看来,Strong Swan 并没有发送中间证书,但在花了几个小时追踪这个问题之后,我不知道如何强制发送中间证书。我可以在日志中看到它正在发送最终实体证书,但没有提到中间证书。
任何指导都非常感谢。
答案1
因此事实证明,至少对于我在 Debian Buster 上安装的 strongswan 版本,如果没有整个证书链,Strongswan 会拒绝将中间证书加载到其存储中;也就是说,我必须下载根证书并将其添加到 cacerts 文件夹下,现在一切都按预期工作。