Sertifika oluşturma ve dışarı aktarma - Linux (strongSwan)

  • Makale

VPN Gateway noktadan siteye bağlantılar kimlik doğrulaması için sertifikaları kullanabilir. Bu makalede, otomatik olarak imzalanan kök sertifika oluşturma ve strongSwan kullanarak istemci sertifikaları oluşturma işlemleri gösterilmektedir. PowerShell veya MakeCert de kullanabilirsiniz.

Her istemciye bağlanmak için yerel olarak yüklenmiş bir istemci sertifikası olmalıdır. Ayrıca, kök sertifika ortak anahtar bilgilerinin Azure'a yüklenmesi gerekir. Daha fazla bilgi için bkz . Noktadan siteye yapılandırma - sertifika kimlik doğrulaması.

strongSwan yükleme

Aşağıdaki adımlar strongSwan'ı yüklemenize yardımcı olur.

Komutlar belirtilirken aşağıdaki yapılandırma kullanıldı:

  • Bilgisayar: Ubuntu Server 18.04
  • Bağımlılıklar: strongSwan

Gerekli strongSwan yapılandırmasını yüklemek için aşağıdaki komutları kullanın:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Linux CLI yönergeleri (strongSwan)

Aşağıdaki adımlar, Linux CLI (strongSwan) kullanarak sertifika oluşturmanıza ve dışarı aktarmanıza yardımcı olur. Daha fazla bilgi için bkz . Azure CLI'yı yüklemek için ek yönergeler.

CA sertifikasını oluşturun.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

CA sertifikasını base64 biçiminde yazdırın. Bu, Azure tarafından desteklenen biçimdir. Bu sertifikayı P2S yapılandırma adımlarının bir parçası olarak Azure'a yüklersiniz.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

Kullanıcı sertifikasını oluşturun.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

Kullanıcı sertifikasını içeren bir p12 paketi oluşturun. Bu paket, istemci yapılandırma dosyalarıyla çalışırken sonraki adımlarda kullanılacaktır.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

Sonraki adımlar

VPN istemci yapılandırma dosyaları oluşturma ve yükleme - Linux için noktadan siteye yapılandırmanıza devam edin.