ipsec,winXP a CA
Anton Caniga
Caniga na bentel.sk
Pátek Únor 27 17:00:00 CET 2004
Dobry den,
nerad vas znovu otravujem ale chcel by som sa nieco opytat.
Snazim sa rozchodit freeswan tunel medzi winXP a linuxom,
pricom win maju dynamicku ip.Rozhodol som sa ze im vystavym
certifikaty a tu som narazil na hubu.Zistil som ze treba vygenerovat CA,
certifikat pre gateway a certifikat pre klienta.
Strucny postup:
1. Na vygenerovanie certifikatu pre CA pouziva nasledujuce prikazy:
# mkdir -p demoCA/private; mkdir -p demoCA/newcerts;
# touch demoCA/index.txt; echo 01 >> demoCA/serial; chmod -R 700 demoCA
# openssl req -x509 -days 3650 -newkey rsa:2048 -keyout
demoCA/private/cakey.pem -out demoCA/cacert.pem
# openssl ca -gencrl -out crl.pem
,kt. mi vygeneruje 3 subory a s tymi urobim nasledujuce:
#cp crl.pem /etc/ipsec/crl/
#cp cakey.pem /etc/ipsec.d/private/
#cp cacert.pem /etc/ipsec.d/cacerts/
2.Prikazi na vygenerovanie certifikatu pre gateway:
# openssl req -newkey rsa:2048 -keyout serverKey.pem -out serverReq.pem
# openssl ca -policy policy_anything -in serverReq.pem -days 1825 -out
serverCert.pem -notext
# openssl x509 -in serverCert.pem -outform DER -out x509cert.der
# fswcert -k serverKey.pem > ipsec.secrets
tu mi vzniknu 4 subory:
serverKey.pem -privatny kluc
serverCert.pem - certifikat pre kluc
x509cert.der - certifikat x509
serverReq - ???
a tie nakopirujem do:
#cp x509cert.der /etc/x509cert.der
#cp serverCert.pem /etc/ipsec.d/
3.Prikazy na vygenerovanie certifikatu pre klienta:
# openssl req -newkey rsa:2048 -keyout clientKey.pem -out clientReq.pem
# openssl ca -policy policy_anything -in clientReq.pem -days 1825 -out
clientCert.pem -notext
# openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -certfile
demoCA/cacert.pem -out clientCert.p12
tu mi vzniknu tiez 3 subory:
clientCert.p12, clientReq.pem a clientCert.pem
tie nakopirujem do:
#cp clientCert.pem /etc/ipsec.d/
#cp clientCert.p12 - na win masinu
A teraz k tym dotazom:
1.Viem ako vygenerujem certifikat pre klienta a gateway ale co mam s nimi
potom urobit, kde ich treba nakopirovat.Mohli by ste mi to vysvetlit na
predchadzajucom priklade.
2.Co sa ma presne nachadzat v subore ipsec.secrets, pretoze pokial
vlozim ten privatny kluc pomocou fswcert tak mi nehlasi ziadnu chybu,
ale pokial tam napisem nasledujuce:
: RSA serverKey.pem "xxxx"
tak mi hlasi v logoch ze som zadal zlu parafrazu ale ta je urcite dobra.
Dakujem kazdej dobrej dusi za nakopnutie spravnym smerom.
Další informace o konferenci Linux