我正在阅读本教程也就是说,
您的网关证书必须具有:扩展密钥使用标志,明确允许证书用于身份验证目的。具有 OID 1.3.6.1.5.5.7.3.1 的 serverAuth EKU(通常称为 TLS Web 服务器身份验证)将执行此操作。如果您使用 OpenSSL 生成证书,则包括选项
但是,我不明白这是什么gateway certificate
意思?他们指的是 CA、服务器的私钥还是您发送给客户端的公钥?
他们想要的论点--flag serverAuth
在两种情况下都是有效的
--self
我不明白和之间的区别--issue
答案1
ipsec pki --self
用于创建一个自签名证书。这意味着证书使用与证书中包含的公钥匹配的私钥进行签名。这可以用于任何证书,而不仅仅是 CA 证书,但它要求证书安装在所有必须信任它的主机上。
ipsec pki --issue
另一方面,使用不同的密钥来签署证书。其主要用途是让 CA 颁发/签署终端实体证书(或中级CACA 证书允许您信任由该 CA 颁发的所有证书(例如,证书名称)。这使部署更容易,因为您只需安装 CA 证书即可信任该 CA 颁发的所有证书。
由于这两个命令都会创建新证书,因此serverAuth
扩展密钥使用标志 ( --flag serverAuth
) 对两者都是有效选项。使用哪个命令来创建最终实体证书取决于您,为了更轻松地部署,建议使用第二个选项。
同样,--san ...
教程中提到的选项subjectAltName
为证书添加了扩展,因此它也可以与这两个命令一起使用。
答案2
证书本质上是您的服务器的公钥(带有一些附加字段),已由您的 CA 签名。证书文件通常具有.crt
扩展名,格式如下:
-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----
他们所说的“网关”是指您的 IPSec 网关。