إنشاء شهادات وتصديرها
تستخدم اتصالات Point-to-Site الشهادات للمصادقة. توضح هذه المقالة كيفية إنشاء شهادة جذر موقعة ذاتياً وإنشاء شهادة عميل باستخدام Linux CLI وstrongSwan. إذا كنت تبحث عن إرشادات مختلفة حول الشهادة، فراجع المقالة PowerShell أو MakeCert. لمزيد من المعلومات حول كيفية تثبيت strongSwan باستخدام GUI بدلاً من CLI، راجع الخطوات الواردة في المقالة تكوين العميل.
تثبيت strongSwan
تم استخدام التكوين التالي للخطوات التالية:
- الكمبيوتر: Ubuntu Server 18.04
- التبعيات: strongSwan
استخدم الأوامر التالية لتثبيت تكوين strongSwan المطلوب:
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
استخدم الأمر التالي لتثبيت واجهة سطر أوامر Azure:
curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash
إرشادات إضافية حول كيفية تثبيت Azure CLI
إنشاء شهادات وتصديرها
إنشاء شهادة CA.
ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem
طباعة شهادة المرجع المصدق بتنسيق base64. هذا هو التنسيق الذي يدعمه Azure. يمكنك تحميل هذه الشهادة إلى Azure كجزء من خطوات تكوين P2S.
openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo
إنشاء شهادة المستخدم.
export PASSWORD="password"
export USERNAME="client"
ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"
يمكنك إنشاء مجموعة p12 تحتوي على شهادة المستخدم. وسيتم استخدام هذه المجموعة في الخطوات التالية عند العمل باستخدام ملفات تكوين العميل.
openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"
الخطوات التالية
تابع خطوات التكوين Point-to-Site من أجل إنشاء ملفات تكوين عميل VPN وتثبيتها.