[ipsec][strongswan] 用strongswan pki工具生成自簽名證書

時間 2019-11-30

標籤 ipsec strongswan pki 工具生成簽名證書欄目 VPS 简体版

原文原文鏈接

如題。我在實驗環境裏，分別要爲兩個endpoint（T9和T129）生成證書。html

證書是如何生成的呢？瀏覽器

證書是由根證書機構簽發的。申請證書的人將request提交給根證書機構，而後根證書機構根據request返還一個簽好名的證書。post

首先，要弄出這三我的來。（生成私鑰）url

[root@T9 OUTPUT]# ./bin/pki --gen --type ed25519 --outform pem > tong.pem
[root@T9 OUTPUT]# ./bin/pki --gen --type ed25519 --outform pem > t9.pem
[root@T9 OUTPUT]# ./bin/pki --gen --type ed25519 --outform pem > t129.pem

tong是根證書機構的實體。T9和T129是兩個endpoint。spa

而後，tong創建了一個根證書機構。它並非個權威，它的機構也不是權威機構。因此，咱們管這個叫「自簽名證書」（生成根證書）code

[root@T9 OUTPUT]# ./bin/pki --self --ca --lifetime 3652 --in tong.pem --dn "C=CH, O=tong, CN=tong Root CA" --outform pem > tongCert.pem

建好了～～～orm

T9和T129分別用私鑰生成本身的requestserver

[root@T9 OUTPUT]# ./bin/pki --req --type priv --in t9.pem --dn "C=CH, O=t9, CN=t9.tong.localhost" --san t9.tong.localhost --outform pem > t9Req.pem
[root@T9 OUTPUT]# ./bin/pki --req --type priv --in t129.pem --dn "C=CH, O=t129, CN=t129.tong.localhost" --san t129.tong.localhost --outform pem > t129Req.pem

tong用本身的根證書，拿着兩個request，分別給T9和T129頒發證書htm

[root@T9 OUTPUT]# ./bin/pki --issue --cacert tongCert.pem --cakey tong.pem --type pkcs10 --in t9Req.pem --serial 01 --lifetime 1826 --outform pem > t9Cert.pem
[root@T9 OUTPUT]# ./bin/pki --issue --cacert tongCert.pem --cakey tong.pem --type pkcs10 --in t129Req.pem --serial 01 --lifetime 1826 --outform pem > t129Cert.pem

好了，來個全家福blog

[root@T9 OUTPUT]# ls -l
-rw-r--r-- 1 root root 538 Dec 15 17:05 t129Cert.pem
-rw-r--r-- 1 root root 119 Dec 15 16:57 t129.pem
-rw-r--r-- 1 root root 395 Dec 15 17:05 t129Req.pem
-rw-r--r-- 1 root root 530 Dec 15 17:05 t9Cert.pem
-rw-r--r-- 1 root root 119 Dec 15 16:57 t9.pem
-rw-r--r-- 1 root root 387 Dec 15 17:04 t9Req.pem
-rw-r--r-- 1 root root 534 Dec 15 16:57 tongCert.pem
-rw-r--r-- 1 root root 119 Dec 15 16:56 tong.pem
[root@T9 OUTPUT]#