Certificaten genereren en exporteren - Linux (strongSwan)

  • Artikel

Punt-naar-site-verbindingen van VPN Gateway kunnen certificaten gebruiken om te verifiëren. In dit artikel leest u hoe u een zelfondertekend basiscertificaat maakt en clientcertificaten genereert met behulp van strongSwan. U kunt ook PowerShell of MakeCert gebruiken.

Elke client moet lokaal een clientcertificaat hebben geïnstalleerd om verbinding te kunnen maken. Daarnaast moet de openbare sleutelgegevens van het basiscertificaat worden geüpload naar Azure. Zie Punt-naar-site-configuratie - certificaatverificatie voor meer informatie.

StrongSwan installeren

Met de volgende stappen kunt u strongSwan installeren.

De volgende configuratie is gebruikt bij het opgeven van opdrachten:

  • Computer: Ubuntu Server 18.04
  • Afhankelijkheden: strongSwan

Gebruik de volgende opdrachten om de vereiste strongSwan-configuratie te installeren:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Instructies voor Linux CLI (strongSwan)

Met de volgende stappen kunt u certificaten genereren en exporteren met behulp van de Linux CLI (strongSwan). Zie Aanvullende instructies voor het installeren van de Azure CLI voor meer informatie.

Genereer het CA-certificaat.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

Druk het CA-certificaat af in base64-indeling. Dit is de indeling die wordt ondersteund door Azure. U uploadt dit certificaat naar Azure als onderdeel van de P2S-configuratiestappen.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Genereer het gebruikerscertificaat.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Genereer een p12-bundel met het gebruikerscertificaat. Deze bundel wordt gebruikt in de volgende stappen bij het werken met de clientconfiguratiebestanden.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Volgende stappen

Ga door met uw punt-naar-site-configuratie om VPN-clientconfiguratiebestanden te maken en te installeren - Linux.