X.509認証とLDAP認証を備えたStrongswan
PKI認証を使用してStrongswan/Libreswanをセットアップしたいと思います。今、私はここのように特定の受け入れられたクライアント証明書を構成する方法だけを検索して見つけました: http://technikenity.blogspot.com/2013/06/howto-windows-8-ikev2-vpn-with.html ==
私がやりたいのは、rightCA = companyCA.pemのようなものを用意することです。これにより、Strongswanは、CAまでの信頼を構築できるすべてのクライアント証明書を受け入れるようになります。
編集:認証されたクライアントを承認する手段も必要です(LDAPに対してなど)
rightcaオプションでそれを正確に行うことができます。クライアント証明書を受け入れるCAの識別名を設定するだけです。
StrongSwanは、信頼できるCA証明書への信頼チェーンを正常に検証できるすべてのクライアント証明書を受け入れるため、実際にはそのオプションを設定する必要はありません(つまり、複数の信頼できるCAがある場合、オプションは主にクライアントを特定のCAに制限することです) )。