具有X.509身份验证和LDAP授权的Strongswan

Question

我想用PKI认证来设置Strongswan/Libreswan。现在，我只搜索并找到了如何配置特定的可接受客户端证书，如：http://technikenity.blogspot.com/2013/06/howto-windows-8-ikev2-vpn-with.html

我想做的是像rightCA=companyCA.pem这样的东西，它可以让Strongswan接受任何可以在CA上建立信任的客户端证书。

编辑:我也想有一种方法来授权认证客户(例如。(反对LDAP)

Answer 1

您可以使用rightca选项准确地做到这一点。只需配置要接受客户端证书的CA的可分辨名称。

实际上，您甚至不必设置该选项，因为strongSwan接受可以成功验证信任链为受信任CA证书的所有客户端证书(也就是说，如果存在多个可信CA，则该选项主要是将客户端限制为特定的CA)。