Générer et exporter des certificatsGenerate and export certificates

Les connexions de point à site utilisent des certificats pour l’authentification.Point-to-Site connections use certificates to authenticate. Cet article vous explique comment créer un certificat racine auto-signé et générer des certificats clients à l’aide de l’interface de ligne de commande Linux et de strongSwan.This article shows you how to create a self-signed root certificate and generate client certificates using the Linux CLI and strongSwan. Pour des instructions sur d’autres certificats, voir les articles PowerShell ou MakeCert.If you are looking for different certificate instructions, see the Powershell or MakeCert articles. Pour plus d’informations sur l’installation de strongSwan à l’aide de l’interface utilisateur graphique au lieu de l’interface de ligne de commande, consultez les étapes de l’article Configuration du client.For information about how to install strongSwan using the GUI instead of CLI, see the steps in the Client configuration article.

Installer strongSwanInstall strongSwan

La configuration suivante a été utilisée pour les étapes ci-dessous :The following configuration was used for the steps below:

  • Ordinateur : Ubuntu Server 18.04Computer: Ubuntu Server 18.04
  • Dépendances : strongSwanDependencies: strongSwan

Utilisez les commandes suivantes pour installer la configuration strongSwan requise :Use the following commands to install the required strongSwan configuration:

sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins

Utilisez la commande suivante pour installer l’interface de ligne de commande Azure :Use the following command to install the Azure command-line interface:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

Instructions supplémentaires sur l’installation de l’interface Azure CLIAdditional instructions on how to install the Azure CLI

Générer et exporter des certificatsGenerate and export certificates

Générez le certificat d’autorité de certification.Generate the CA certificate.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Imprimez le certificat d’autorité de certification au format base64.Print the CA certificate in base64 format. C’est le format pris en charge par Azure.This is the format that is supported by Azure. Vous chargez ce certificat dans Azure dans le cadre des étapes de configuration de P2S.You upload this certificate to Azure as part of the P2S configuration steps.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Générez le certificat de l’utilisateur.Generate the user certificate.

export PASSWORD="password"
export USERNAME="client"

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Générez un fichier p12 contenant le certificat de l’utilisateur.Generate a p12 bundle containing the user certificate. Ce fichier sera utilisé au cours des étapes suivantes lors de l'utilisation des fichiers de configuration du client.This bundle will be used in the next steps when working with the client configuration files.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Étapes suivantesNext steps

Passez à votre configuration point à site pour Créer et installer les fichiers de configuration du client VPN.Continue with your Point-to-Site configuration to Create and install VPN client configuration files.