我正在尝试在我的 EdgeRouter 6P 上为旅途中的用户设置 IPSec/IKEv2 VPN 服务器,该服务器搭载 Linux Strongswan 5.6.3,以 Active Directory CA 作为 TRUSTED ROOT CA,以 Microsoft NPS 作为 Radius 进行身份验证,两者都安装在具有 FQDN 的域控制器上。
在过去的几天里,我收集了一些有关该过程的信息,我将在这篇文章的末尾留下我找到的链接,现在我有一些隧道配置指南,但我最担心的是证书;我必须坚持使用我们的企业 CA 进行集中管理。
我明白我需要一个受信任的 CA 来签署 VPN 服务器和客户端证书,并且其 (CA) 证书必须安装在客户端钥匙串上。我的域控制器上安装了 AD CA,我有几个问题:
- 我已按照有关在 AD CA 下创建 IPSEC 证书模板的教程进行操作,但我对参数并不完全确定,因为我找不到涉及 Strongswan 的 Microsoft IPSEC 证书的指南。
- 我看到不同的文件扩展名类型,例如 .cert .pem .p12 ecc..我应该使用哪一种?
- AD CA 将等待证书请求然后部署吗?或者我必须从 AD CA Windows Server 界面创建客户端和服务器证书?
- 一些教程解释说必须为每个客户端创建一个证书,其他教程只为服务器创建一个证书......那么所有可能的身份验证方式有哪些?
正如你所看到的,我对证书部署非常困惑,我找不到有关与 Microsoft AD CA 相关的 Strongswan 的任何解释
如果能找到一个能向我解释我所缺乏的有关证书类型和不同 CA 的概念并阐明 strongswan 的这一程序部分的人,那就太好了。
先感谢您!
Road Warrior IPsec VPN (IKEv2,Win7/MacOS/iOS)
答案1
对此我的想法是:Microsoft CA 完全可以颁发 IPsec 证书。您只需准备一个模板,让经常出差的人在办公室时通过组策略自动将颁发的证书部署到他们的 Windows 机器上。
在这种情况下,文件扩展名也是需要忽略的。如果您使用的是 Linux/Unix 环境,我始终建议使用 PEM 格式(Base64 编码的证书信息。顶部和底部带有 BEGIN 和 END CERTIFICATE 的格式)
DER 格式,也适用于 Linux/Unix,但在文本编辑器中查看时发现格式问题要困难得多。
所以请不要混淆文件扩展名(在 Linux/Unix 下可以完全忽略)和包含的文件结构/格式。
可以按照前面所述通过模板使用 Microsoft CA 创建证书,并且可以在 Windows 中自动创建,也可以在 de mmc 中或通过 Web 界面手动创建(https://服务器名称.tld/certsrv/最好使用 IE...),您只需输入服务器端生成的 CSR,即可获得由您自己的 CA 签名的新证书。
始终建议为每个用户生成一个证书,以防一台笔记本电脑丢失/被盗。然后您只需撤销并为一位用户重新颁发一个证书。
想象一下,如果每个用户都获得了相同的证书,并且其中一位丢失了他的设备。您必须向每位出差人员提供一份新证书,以便再次恢复相同级别的安全性。
所以,不行。为所有用户提供一份证书并不是一个好主意!
我唯一不知道的是 IPsec 是否需要任何特殊的证书扩展,或者是否有任何证书适合。但我认为不是。据我所知,普通的服务器证书和用户证书可以正常工作。