转自OpenSuSE中文站:
https://zh.opensuse.org/SDB:Setup_Ipsec_VPN_with_Strongswan
strongSwan服务器证书
不同平台下有许多坑
sudo su
pki --issue --cacert cacerts/strongSwanCACert.pem \
--cakey private/strongSwanCAKey.pem \
--type pub \
--in /home/pi/tpm_cmd/ecckey/ak_ecc_pub.der \
--flag serverAuth --flag ikdeIntermediate --dn "C=CN, O=Joy_Hosin, CN=192.168.0.72" --san 192.168.0.72 \
--lifetime 3651 \
> /etc/swanctl/x509/raspi5_ak_ecc_Cert.der
--dn, --san,--flag 是一些客户端方面的特殊要求:
- iOS 客户端要求 CN (Common Name: 通用名)必须是你的服务器的 URL 或 IP 地址
- Windows 7 不但要求了上面,还要求必须显式说明这个服务器证书的用途(用于与服务器进行认证),--flag serverAuth
- 非 iOS 的 Mac OS X 要求了“IP 安全网络密钥互换居间(IP Security IKE Intermediate)”这种增强型密钥用法(EKU),--flag ikdeIntermediate
- Android 和 iOS 都要求服务器别名(serverAltName)就是服务器的 URL 或 IP 地址,即 --san