我正在阅读这个教程 ,
您的网关证书必须具有:“扩展密钥用法”标志,明确允许将证书用于身份validation目的。 具有OID 1.3.6.1.5.5.7.3.1(通常称为TLS Web服务器身份validation)的serverAuth EKU将执行此操作。 如果您使用OpenSSL生成证书,请包含该选项
但是,我很困惑,什么gateway certificate意思? 它们是指CA,服务器的私钥还是发送给客户端的公钥?
他们想要的参数--flag serverAuth在两者中都是有效的
ipsec pki --self ipsec pki --issue 我不明白 – --self和 – --issue之间的区别
ipsec pki --self用于创build自签名证书。 这意味着证书使用与证书中包含的公钥相匹配的私钥进行签名。 这可以用于任何证书而不仅仅是CA证书,但是它要求证书安装在所有需要信任的主机上。
另一方面, ipsec pki --issue使用不同的密钥来签署证书。 它主要用于CA颁发/签署最终实体证书(或中间CA证书)。 这使得部署更简单,因为您只需安装CA证书即可信任该CA颁发的所有证书。
由于这两个命令都会创build新的证书, serverAuth扩展密钥使用标志( --flag serverAuth )是两个有效的选项。 您使用哪个命令创build最终实体证书取决于您,为便于部署,build议使用第二个选项。
同样,本教程中提到的--san ...选项为证书添加了subjectAltName扩展名,所以它也可以与两个命令一起使用。
证书本质上是您的服务器的公钥(带有一些附加字段),由您的CA签名。 证书文件通常具有.crt扩展名,格式为:
-----BEGIN CERTIFICATE----- MII...<snip> -----END CERTIFICATE-----
通过“网关”,他们指的是您的IPSec网关。