OPENSSL 製作 Ikev2證書
OPENSSL 製作 Ikev2證照
在一個 VPS 上配置 IKEV2 VPN 伺服器時,用 OPENSSL 製作了所需的數字證照,奇怪的怎麼弄都無法連線伺服器,一直提示 “IKE_SA 連結超時” 。最後實在沒轍了,懷疑到是不是證照有問題,因為平時都是用 ipsec pki 生成證照的。於是按照網上的教程用 ipsec pki 製作證照,結果很順利的登入伺服器。
一、仔細對比了 ipsec pki 和 OPENSSL 簽發的證照,區別還是有的:
1. 在證照的常規項裡面,ipsec pki 的證照明確指出 “保證遠端計算機的身份” 和 “允許 Internet 上的安全通訊”
二、再對比了製作證照的指令:
1. 在建立根證照的時兩者基本差別不大,
2. 在簽發證照時,ipsec pki 使用了 san 擴充套件和幾個 flag
ipsec pki 簽發 server 證照
ipsec pki --gen --type rsa --size 4096 --outform pem > vpnkey.pem
ipsec pki --pub --in vpnkey.pem --type rsa | ipsec pki --issue --lifetime 1825 --cacert ca.pem --cakey cakey.pem \
--dn "C=US, O=VPN Server, CN=vpn-do.yourshell.info" \
--san vpn-do.yourshell.info --flag serverAuth --flag ikeIntermediate \
--outform pem > vpn.pem
Ikev2證照 需要支援 IKE 協議(因特網金鑰交換協議) ,同時支援“使用者可選名稱“(SAN 擴充套件,多域名證照)以提高裝置的相容性
三、在谷歌上搜尋一番,修改 openssl.cnf 如下
在 [ new_oids ] 配置段中加入
ikeIntermediate = 1.3.6.1.5.5.8.2.2
在 [ req ] 配置段中加入
utf8 = yes
修改 [ usr_cert ] 配置段
basicConstraints=CA:true
nsCertType = server, client, email, objsign
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth,clientAuth,codeSigning,emailProtection, ikeIntermediate
修改 [ v3_req ] 配置段
# Extensions to add to a certificate request
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection, ikeIntermediate
basicConstraints = CA:true
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = 域名1
DNS.2 = 域名2
四、最後在 簽發證照的時,使用 -extensions v3_req 引數
openssl ca -extensions v3_req -in user_csr.pem -out user_cert.crt -days 3650
參考地址
OpenSSL SAN 證照 http://liaoph.com/openssl-san/
SSLConfig http://wiki.cacert.org/Roots/OpenSSLConfig
相關文章
- openssl生成證書
- 使用OpenSSL生成證書
- Mac 上製作 SSL 證書Mac
- openssl生成自簽名證書
- mac 上使用OpenSSL 生成RSA證書Mac
- openssl提取pfx證書金鑰對
- 使用 acme.sh 製作 HTTPS 證書ACMHTTP
- 使用OpenSSL生成自簽名SSL證書
- 使用 OpenSSL 建立私有 CA:1 根證書
- 隨筆-openssl證書的生成和使用
- OpenSSL 生成 RootCA (根證書)並自簽署證書(支援 IP 地址)
- 怎樣製作證書請求檔案CSR
- 使用 OpenSSL 建立私有 CA:2 中間證書
- RSA的主場-證書籤名&OpenSSL演示
- 使用 openssl 命令列構建 CA 及證書命令列
- 關於IOS製作p12證書的方法iOS
- 記錄 openssl 證書驗證失敗的詭異問題
- 使用 OpenSSL 建立私有 CA:3 使用者證書
- openssl建立證書,非常詳細配置ssl+apacheApache
- 推薦一個製作 https 證書的工具 CertbotHTTP
- 使用OpenSSL建立生成CA證書、伺服器、客戶端證書及金鑰伺服器客戶端
- openssl 證書生成筆記(go 1.15版本以上)筆記Go
- https--OpenSSL生成root CA及簽發證書HTTP
- OpenSSL 證書請求和自簽名命令 req 詳解
- 在Linux下如何根據域名自簽發OpenSSL證書與常用證書轉換Linux
- fabric-ca載入openssl生成的ecdsa標準證書
- 使用OpenSSL轉換X509 PEM與PFX證書
- 利用nginx和騰訊雲免費證書製作https的方法NginxHTTP
- 使用Gitbook製作電子書Git
- 電子書製作軟體
- 使用OpenSSL生成自簽名證書(IIS)搭建Https站點HTTP
- PHP驗證碼的製作PHP
- 《Apache資料傳輸加密、證書的製作》——涉及HTTPS協議Apache加密HTTP協議
- 如何製作Java文件說明書Java
- PHP中使用OpenSSL下openssl_verify驗證簽名案例PHP
- 用OpenSSL把二進位制的Cer證書轉換程Base64格式的PEM格式的證書
- ppt製作的翻書效果及教程
- jsp+javascript製作驗證碼JSJavaScript