VPN服务器Edgerouter + IPSec/IKEv2 2+ Active证书颁发机构的证书说明

Question

我试图在我的EdgeRouter 6P上为公路战士设置一个IPSec/IKEv2VPN服务器，该服务器上有Linux 5.6.3，Active Directory CA作为受信任的根CA，Microsoft作为Radius进行身份验证，这两个服务器都安装在带有FQDN的域控制器上。

在过去的几天里，我收集了一些关于这个过程的信息，我将留下我在这篇文章末尾找到的链接，现在我已经有了一些隧道配置指南，但是我最关心的是证书；我必须坚持我们的企业CA来进行集中管理。

我知道我需要一个可信的CA，它将对VPN服务器和客户端证书进行签名，并且它的(CA)证书必须安装在客户端密钥链上。我在域控制器上安装了AD CA，我有几个问题：

• 我遵循了关于在AD CA下创建IPSEC证书模板的教程，但是我不完全确定参数，因为我找不到有关Strongswan的Microsoft证书的指南。
• 我看到不同的文件扩展名类型，比如.cert .pem .p12 ecc.我应该用哪一种？
• AD将等待证书请求，然后部署？或者我必须从AD server接口创建客户端和服务器证书？
• 一些教程解释说，必须为每个客户端创建一个证书，另一些教程只为服务器创建一个证书.那么，所有可能的身份验证方法都是什么？

正如您所看到的，我对证书的部署非常困惑，我也找不到与Microsoft相关的Strongswan的任何解释。

很高兴能找到一个能解释我缺少的关于证书类型和不同CA的概念的人，并为strongswan澄清这个过程部分。

提前谢谢你！

公路战士IKEv2 2 VPN服务器

IPSEC，Win7+开箱即用(公路战士)

公路勇士IPsec VPN (IKEv2 2，Win7 7 7/MacOS/iOS)

IKEv2 2设置指南

如何将IKEv2 2 VPN服务器安装在边缘路由器或VyOS上

带有Edgerouter的IKEv2 2 VPN服务器

如何从证书颁发机构(CA)获得证书？

遗留strongSwan配置

Answer 1

下面是我对此的思考: Microsoft非常适合颁发IPsec证书。您只需准备一个模板，并使公路战士在办公室时通过组策略自动获得部署在其Windows机器上的de颁发证书。

在这种情况下，文件扩展名也是要忽略的。如果您正在处理的是Linux/Unix环境，我总是建议使用PEM格式(Base64编码的证书信息)。在顶部和底部都有开始和结束证书的)

DER格式，也可以在Linux/Unix上工作，但是它要难得多，所以在文本编辑器中查看它时会发现格式化问题。

因此，请不要将文件扩展名(在Linux/Unix下完全忽略的内容)和包含的文件结构/格式混为一谈。

使用Microsoft创建证书可以完成，正如前面通过模板描述的那样，可以在windows中自动创建证书，也可以在de或Web接口上手动创建证书(https://server.name.tld/certsrv/最好使用IE .)，在这里您可以添加服务器端生成的CSR，并作为回报，获得由您自己的CA签名的新证书。

如果一台膝上型电脑丢失/被盗，建议为每个用户生成一个证书。然后您只需撤销，并为一个用户重新颁发一个证书。

想象一下，如果每个用户都获得了相同的证书，而其中一个失去了他的设备。为了再次恢复相同级别的安全性，您必须向每个公路战士颁发一个新的证书。

所以，没有。一个证书给所有的用户不是一个好主意！

我唯一不知道的是，IPsec是否需要任何特殊的证书扩展，或者是否需要任何证书。但我不这么认为。AFAIK普通服务器证书和用户证书工作正常。