Strongwan 建立证书体系,CA根证书、服务端与各个客户端证书

鳄鱼儿2024-09-24 14:40

配置IPSec需要建立 PKI,PKI(公钥基础结构)包括服务器与各个客户端的私钥和证书(公钥)、对服务器和各个客户端证书签名的 CA 证书与密钥(CA 证书与密钥来自根证书颁发机构)。

支持基于证书的双向身份验证.这意味着客户端必须对服务器证书进行身份验证,并且服务器必须在建立相互信任之前对客户端证书进行身份验证。

PKI 生成流程

1. 生成主证书颁发机构 (CA)证书和密钥

shell 复制代码 
pki --gen --type sm2 --outform pem > ca.key.pem
pki --self --in ca.key.pem --type sm2 --digest sm3 --dn "C=cn, O=demo, CN=VPN CA" \
                --ca --lifetime 3650 --outform pem > ca.cert.pem

在CA主机上完成:

  • 生成CA的SM2私钥 (ca.key.pem)
  • 使用该私钥创建自签名的CA证书 (ca.cert.pem)
  • CA证书有效期为10年 (3650天)

生成后, CA需要将ca.cert.pem分发给服务器和客户端。

2. 生成服务器的证书和密钥

shell 复制代码 
pki --gen --type sm2 --outform pem > server.key.pem
pki --pub --type sm2 --in server.key.pem --outform pem > server.pub.key.pem
pki --req --in server.key.pem --type sm2 --dn "C=cn, O=demo, CN=VPN Server" \
                --digest sm3 --outform pem > server.req.pem

在服务器上完成:

  • 生成服务器的SM2私钥 (server.key.pem)
  • 从私钥提取公钥 (server.pub.key.pem)
  • 创建证书签名请求 (server.req.pem)

服务器将server.req.pem发送给CA进行签名。

shell 复制代码 
pki --issue --in server.req.pem --type pkcs10 --digest sm3 --lifetime 1200 \
                --cacert ca.cert.pem --cakey ca.key.pem --flag serverAuth \
                --flag ikeIntermediate --san="172.16.0.75" \
                --outform pem > server.cert.pem

在CA主机上完成:

  • CA使用自己的私钥和证书签发服务器的证书
  • 证书有效期为1200天
  • 包含serverAuth和ikeIntermediate标志
  • 添加服务器IP地址作为主题备用名称 (SAN)

CA将生成的server.cert.pem发送回服务器。

3. 生成客户端的证书和密钥

shell 复制代码 
pki --gen --type sm2 --outform pem > client.key.pem
pki --pub --type sm2 --in client.key.pem --outform pem > client.pub.key.pem
pki --req --in client.key.pem --type sm2 --dn "C=cn, O=demo, CN=VPN Client" \
                --digest sm3 --outform pem > client.req.pem

在客户端设备上完成:

  • 生成客户端的SM2私钥 (client.key.pem)
  • 从私钥提取公钥 (client.pub.key.pem)
  • 创建证书签名请求 (client.req.pem)

客户端将client.req.pem发送给CA进行签名。

shell 复制代码 
pki --issue --in client.req.pem --type pkcs10 --digest sm3 --lifetime 1200 \
                --cacert ca.cert.pem --cakey ca.key.pem  --san="172.16.0.91" \
                --outform pem > client.cert.pem

在CA主机上完成:

  • CA使用自己的私钥和证书签发客户端的证书
  • 证书有效期为1200天
  • 添加客户端IP地址作为主题备用名称 (SAN)

CA将生成的client.cert.pem发送回客户端。

根 CA 证书的作用

  1. 证书验证链: 在TLS/SSL连接建立过程中,服务器会向客户端提供其证书。客户端需要验证这个证书的有效性。验证过程包括检查证书是否由受信任的CA签发。因此,客户端需要有CA的证书来进行这个验证。

  2. 信任锚: CA证书作为信任锚(Trust Anchor),是整个证书信任链的起点。没有CA证书,客户端就无法验证服务器证书的真实性。

  3. 服务器端验证: 如果VPN配置要求双向认证(即服务器也要验证客户端的身份),那么服务器同样需要CA证书来验证客户端证书的有效性。

  4. 自签名CA: 在这个场景中,我们使用的是自签名的CA证书,而不是商业CA的证书。商业CA的根证书通常预装在操作系统或浏览器中,但自签名CA证书需要手动分发和安装。

分发过程:

  • 对于服务器:CA证书(ca.cert.pem)需要安装在服务器上,通常与服务器自己的证书(server.cert.pem)和私钥(server.key.pem)一起配置。
  • 对于客户端:CA证书需要安装在客户端的信任存储中。这样客户端才能信任由这个CA签发的服务器证书。

安全注意事项:

  • 只分发CA的公共证书(ca.cert.pem),绝不能分发CA的私钥(ca.key.pem)。
  • 通过安全的渠道分发CA证书,以防止中间人攻击。
相关推荐
stark张宇44 分钟前
Golang后端面试复盘:从Swoole到IM架构,如何支撑360w用户的实时消息推送?
后端
小码哥_常1 小时前
从0到1:搭建Spring Boot 3企业级认证授权平台
后端
小码哥_常1 小时前
告别扫库噩梦!Spring Boot+Redis让订单超时管理飞起来
后端
大傻^1 小时前
Spring AI Alibaba 快速入门:基于通义千问的AI应用开发环境搭建
java·人工智能·后端·spring·springai·springaialibaba
IT_陈寒2 小时前
SpringBoot实战:3个隐藏技巧让你的应用性能飙升50%
前端·人工智能·后端
彭于晏Yan3 小时前
MQTT消息服务
spring boot·后端·中间件
程序员Sunday3 小时前
Claude Code 生态爆发:5个必知的新工具
前端·人工智能·后端
weixin_387534223 小时前
Ownership - Rust Hardcore Head to Toe
开发语言·后端·算法·rust
前端付豪3 小时前
实现一个用户可以有多个会话
前端·后端·llm
若水不如远方4 小时前
分布式一致性(六):拥抱可用性 —— 最终一致性与 Gossip 协议
分布式·后端·算法
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)04班级宠物园部署指南05OpenClaw 使用和管理 MCP 完全指南06Labelme从安装到标注:零基础完整指南07UV安装并设置国内源08AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南09OpenClaw Control UI安全上下文访问配置10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)