1
monsterxx03 2017-03-07 23:17:22 +08:00
证书给 windows 用的话,记得生成的时候要设置 subjectAltName 的, 看看这篇: https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq
|
2
yhjserv OP @monsterxx03 服务器的证书应该是没问题的,因为是服务器拒绝了 Windows 连这个服务器,而且从 log 上也能看出来
|
3
monsterxx03 2017-03-08 00:40:48 +08:00
我是说给 client 端的证书,那句 log 就是 server 不认 client 的证书。
当时 windows 的证书是怎么生成的? 用 ipsec pki 生成的话,有加 --san my_server_domain.example.org 吗 |
4
yhjserv OP 使用下面的命令生成了客户端证书
``` ipsec pki --pub \ --in test.key | \ ipsec pki --issue \ --cacert ../rootca/vpnca/vpnca.crt \ --cakey ../rootca/vpnca/vpnca.key \ --dn "C=CN, O=IKEv2 VPN TEST, CN=Test VPN Client" \ --san my_server_domain.example.org \ --outform pem > test.crt ``` 证书信息 ``` $ openssl x509 -in test.crt -noout -text Certificate: Data: Version: 3 (0x2) Serial Number: 5911216928624408369 (0x5208dc7a44eef731) Signature Algorithm: sha512WithRSAEncryption Issuer: CN = Root CA, C = CN, O = IKEv2 VPN TEST Validity Not Before: Mar 7 17:04:57 2017 GMT Not After : Mar 6 17:04:57 2020 GMT Subject: C = CN, O = IKEv2 VPN TEST, CN = Test VPN Client Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (8192 bit) Modulus: 00:......:17 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Authority Key Identifier: keyid:32:6A:60:CC:11:2E:7C:5F:B7:58:C2:8F:5F:6B:64:CB:69:AB:CD:8E X509v3 Subject Alternative Name: DNS:my_server_domain.example.org Signature Algorithm: sha512WithRSAEncryption 64:......:53 ``` 服务端依然不接受这张证书 |
5
monsterxx03 2017-03-08 09:16:50 +08:00 via iPhone
看上去没啥问题啊,话说你的域名只是个示例吧,实际连服务器使用的域名要和 server 证书的 cn 对得上才行。 strongswan 坑好大的,能用其他的还是别折腾了
|
6
Terenc3 2017-03-08 09:46:48 +08:00 via iPhone
|
7
yhjserv OP |
8
Terenc3 2017-03-08 23:02:26 +08:00
https://enginx.cn/2016/06/19/%E9%85%8D%E7%BD%AE%E5%9F%BA%E4%BA%8Estrongswan-%E7%9A%84ikev2.html
链接包含中文,没有转换过来。以上是正确有效的链接。 |