中間証明書をインポートせずに、IKEv2のパブリックCAからの証明書を使用することは可能ですか?
StrongswanサーバーとWindows10クライアントでikev2vpnを構成しましたが、正常に動作します。認証方法はleftauth=pubkeyとrightauth=eap-mschapv2です。
サーバーを承認するためのleftcertは自己署名されているため、マシンにCA証明書をインポートする必要があります。これは少し注意が必要です。次に、クライアントマシンにインポートする必要がないように、パブリックCAからの証明書を使用できるかどうか疑問に思います。
サーバーのipsec.d/cacertsにルートCA証明書と中間CA証明書を配置しようとしましたが、クライアントが 13801エラー を取得し続けます。クライアントマシンに中間証明書をインストールした後、それは問題なく動作します。明らかに、13801エラーは、インポートされていない中間証明書が原因です。
クライアントが中間証明書をインポートする必要がないようにサーバーを構成する方法はありますか?
はい、私はあなたがそれをすることができると信じています。これをチェックすると IKEV2チュートリアル この男はプライベート証明書を使用する代わりにencyrpt証明書を使用する方法を教えています。 ReadmeのVPNサーバーセクションで述べられているように:
VPNサーバーはLet'sEncrypt証明書で自身を識別するため、クライアントがプライベート証明書をインストールする必要はありません。クライアントはユーザー名とパスワード(EAP-MSCHAPv2)で簡単に認証できます。
this に従って、サーバーに公開証明書をインストールする必要があります。
この証明書の使用方法を知るには、上記のIKEV2チュートリアルでsetup.shを確認してください。
mkdir -p /etc/letsencrypt
ln -f -s /etc/letsencrypt/live/$VPNHOST/cert.pem /etc/ipsec.d/certs/cert.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/privkey.pem /etc/ipsec.d/private/privkey.pem
ln -f -s /etc/letsencrypt/live/$VPNHOST/chain.pem /etc/ipsec.d/cacerts/chain.pem
スクリプトを完全に理解するには、IKEV2(strongswan)サーバー構成の以前の知識を使用して** setup.sh **を実行してください。