înregistrare Logare
Puncte:0
deltamind106 avatar Server

De ce clientul StrongSwan charon-cmd necesită opțiunea de linie de comandă --cert pentru mai multe certificate de lanț CA?

drapel cn
deltamind106

Am un server StrongSwan charon pe Ubuntu 18.04. Mă conectez la acest server cu un client StrongSwan charon-cmd de la o altă mașină Ubuntu Linux.

Comanda pe care o folosesc de la mașina client pentru a mă conecta la server este:

charon-cmd --cert ./GoDaddyCA1.crt --cert GoDaddyCA2.crt --host xxx.example.com --identity myusername

Funcționează grozav, dar nu înțeleg de ce am nevoie de două opțiuni „--cert” în linia de comandă pentru a avea încredere în ambele certificate GoDaddy CA din lanț.

Certificatul meu personal este furnizat de serverul StrongSwan, iar autoritatea acestuia este GoDaddyCA1.crt. Certificatul GoDaddyCA1.crt are o autoritate a certificatului GoDaddyCA2.crt. GoDaddyCA2.crt este un certificat rădăcină autosemnat.

Deci, lanțul de autoritate este:

MyPersonalCert.crt -> GoDaddyCA1.crt -> GoDaddyCA2.crt

Semnificația opțiunii de linie de comandă charon-cmd „--cert” este de a declara că „acesta este un certificat în care am încredere”. Deci, m-aș aștepta ca, dacă am încredere în GoDaddyCA1.crt, atunci și certificatul meu personal să fie de încredere.

Dar asta nu este suficient de bun pentru charon-cmd. Clientul charon-cmd cere să specific „--cert” pentru a avea încredere până la un certificat autosemnat. Dar asta pare de prisos. Dacă am încredere în certificatul CA intermediar, atunci evident că trebuie să am încredere și în certificatul CA de autoritate, nu?

Este aceasta o eroare sau o caracteristică? Dacă este o caracteristică, ce beneficii oferă?

23
0 + 0
Puncte:1
avatar Server
drapel cn
ecdsa

Certificatele CA intermediare nu sunt acceptate în prezent ca ancoră de încredere în strongSwan, doar certificate CA rădăcină autosemnate.

Dacă serverul trimite certificatul CA intermediar împreună cu certificatul serverului, trebuie să aveți încredere doar în certificatul CA rădăcină (de ex. --cert GoDaddyCA2.crt va fi suficient). Dacă nu, asigurați-vă că este instalat și verificați configurația (de ex. send_cert în swanctl.conf). Numai dacă aceasta nu este o opțiune, nu puteți evita să configurați ambele certificate pe client.

0 + 0
deltamind106 avatar
drapel cn
deltamind106
Multumesc pentru acest sfat. Nu am un director /etc/swanctl în distribuția mea Linux (Ubuntu 18.04) și, prin urmare, nu am un fișier swanctl.conf (sau nu știu unde este). Am StrongSwan 5.6.2 de acum câțiva ani, deci poate că acesta este un fișier de configurare nou? Există o configurație în 5.6.2 care este analogă, care îmi va permite să configurez serverul pentru a trimite un certificat CA intermediar?
0
Răspunde
drapel cn
ecdsa
Ai verificat dacă a fost deja trimis? În caz contrar, verificați setarea _leftsendcert_ din ipsec.conf și asigurați-vă că certificatul CA intermediar este instalat în `/etc/ipsec.d/cacerts`.
0
Răspunde
deltamind106 avatar
drapel cn
deltamind106
Ai avut dreptate, odată ce am adăugat certificatul intermediar în directorul /etc/ipsec.d/cacerts, apoi l-a trimis automat. Deci nu a fost nimic de configurat și funcționează acum fără ca clientul să aibă încredere în mai multe certificate. Mulțumiri!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.