一.Strongswan 安装
1.centos 安装依赖:yum install -y gmp-devel
2.下载编译
wget http://download.strongswan.org/strongswan.tar.gz
tar xzf strongswan.tar.gz
cd strongswan-*
./configure --sysconfdir=/etc --enable-openssl --enable-nat-transport --disable-mysql --disable-ldap --disable-static --enable-shared --enable-md4 --enable-eap-mschapv2 --enable-eap-aka --enable-eap-aka-3gpp2 --enable-eap-gtc --enable-eap-identity --enable-eap-md5 --enable-eap-peap --enable-eap-radius --enable-eap-sim --enable-eap-sim-file --enable-eap-simaka-pseudonym --enable-eap-simaka-reauth --enable-eap-simaka-sql --enable-eap-tls --enable-eap-tnc --enable-eap-ttls
make && make install
错误:make: *** No targets specified and no makefile found. Stop.
(如果编译失败 执行yum groupinstall "Development tools" )
错误:configure: error: OpenSSL libcrypto not found
(如果报错 执行yum install openssl-devel.x86_64 )
3.执行完上述步骤之后,安装完成,其配置文件在/etc目录下
4.签发并安装证书
1)生成CA证书
生成私钥
ipsec pki --gen --outform pem > ca.pem
利用私钥,签名CA证书
ipsec pki --self --in ca.pem --dn "C=com, O=nsshell, CN=Nsshell VPN CA" --ca --outform pem >ca.cert.pem
2)服务器证书
生成私钥
ipsec pki --gen --outform pem > server.pem
用CA证书签发服务器证书
ipsec pki --pub --in server.pem | ipsec pki --issue --cacert ca.cert.pem --cakey ca.pem --dn "C=com, O=nsshell, CN=107.170.71.232" \--san="107.170.71.232" --flag serverAuth --flag ikeIntermediate \
--outform pem > server.cert.pem
注意–dn –san中的域名或者IP地址必须和客户端访问服务器时使用的URL或IP一致,即服务器用于服务的URL或IP
3)客户端证书
生成私钥
ipsec pki --gen --outform pem > client.pem
利用CA签名客户端证书