LINUX.ORG.RU

IPSec EAP-TLS (StrongSwan)

 ,


0

1

Подскажите возможно ли организовать соединение с использованием двух сертификатов со стороны клиента (сертификат устройства и сертификат пользователя) ? Вроде подходит EAP-TLS, но совсем не понятно как со стороны клиента указать два сертификата в конфиге StrongSwan?

https://tools.ietf.org/html/rfc5216#section-5.2

Не понял что ты хочешь. Пытаешся создать сначала один шифрованный тунель между устройствами с использованием сертификата устройства, а в нем другой тунель с другим сертификатом пользователя? Цель наличия двух сертов?

anonymous ()

Отвечу как себе (ох уж этот LOR :))

Настраивается так:

Сервер:

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn s1
        keyexchange=ikev2
        left=%defaultroute
        leftcert=pool1.cer
        leftauth=pubkey
#       leftsubnet=0.0.0.0/0
        leftsubnet=192.168.1.0/24

        right=%any
        rightid="C=UA, SN=777, CN=computer, O=SSS LLC, OU=CA, L=Kyiv, S=comp1, G=ccc"
        rightsourceip=10.0.0.0/24
        rightdns=8.8.8.8

       rightauth2=eap-tls
       rightid2="C=UA, SN=38, CN=vasya, O=SSS LLC, OU=CA, L=Kyiv, S=vvvasya, G=vas"

        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0

Как видим тут указаны данные двух сертификатов в rightid, rightid2. Соответственно это сертификат компьютера на котором работает пользователь, и сертификат самого пользователя.

Со стороны клиента настройки похожие:

                                                                                   
config setup
	charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn pool1
	keyexchange=ikev2
        left=%defaultroute
        leftsourceip=%config
        leftcert=comp_sert.cer
        leftauth=pubkey
        leftsubnet=10.0.0.0/24

        leftauth2=eap-tls
        leftcert2=/var/www/certs_and_key/users_crt_key/vasya_cert.cer

        right=192.168.0.5
        rightid=%any
        rightsubnet=192.168.1.0/24
        rightauth=pubkey


        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=10
        dpdtimeout=10
        dpdaction=restart
        auto=start
Ruslan ()
Последнее исправление: Ruslan (всего исправлений: 1)
Ответ на: комментарий от Ruslan

А подскажите, возможно ли проверку обеих сертификатов переложить на freeradius? Доку читал, там есть eap-radius, но не понятно, могу ли я его использовать и для первой фазы,а не только как eap

Ruslan ()

Ну камон лор, сесурити спецы на морях?) Неужели никто не сталкивался с такими тунелями?

Всё просто, есть сервер:

conn ike_and_tls
        keyexchange=ikev2
        left=%defaultroute
        leftcert=pool1.cer
        leftauth=pubkey
        leftsubnet=192.168.1.0/24

        right=%any
        rightid="C=UA, SN=38, CN=computer1, O=SIT LLC, OU=CA, L=Kyiv, S=zasib2, G=zasib222"
        rightsourceip=10.0.0.0/24
        rightdns=8.8.8.8

        rightauth2=eap-tls
        rightid2="C=UA, SN=111, CN=user1, O=SIT LLC, OU=CA, L=Kyiv, S=zasib2, G=zasib222"

Ключевые моменты здесь, rightid и rightauth2 - это два разных сертификата (пользователя и компьютера) и сервер проверят их оба.

Можно ли проверку обеих сертификатов перенести на freeradius? (eap-radius). Как при этом конфигурировать клиента, чтобы он знал что нужно отдать два сертификата серверу?

Ruslan ()