关于我
 

xjpvictor's Blog
小老鼠,上灯台,两只耳朵竖起来

IKEv2 服务器证书不可接受


各种折腾·vpnvpsweb

本文最后编辑于超过2234天以前,部分内容可能已经失效

最近遇到 IKEv2 服务器证书不可接受的问题。

之前说过使用 Let's Encrypt 证书的话需要把中间证书放在 /etc/ipsec.d/cacerts/ 里,之后就可以顺利连接了。

但是在 Windows 10 上导入了用户 AnyConnect VPN 的证书,包括自签名的根证书后,会再次无法连接 IKEv2。

StrongSwan 设置方面,使用了自签名的根证书来生成 IKEv1 使用的客户端证书,而 IKEv1 和 IKEv2 的服务器端证书则都是使用 Let's Encrypt 签发的证书。

当客户端连接 IKEv2 时,如果系统里没有导入自签名的根证书,服务器端会发送 Let's Encrypt 的中间证书,所以客户端可以用来验证服务器端证书,从而顺利连接。

然而当客户端系统上有这个自签名的根证书时,连接 IKEv2 时客户端会请求匹配这个根证书,而服务器端在匹配到这个根证书后,就不再向客户端发送 Let's Encrypt 的中间证书了。这时候由于客户端系统里没有这个中间证书,所以客户端验证服务器证书就失败了。

如果客户端系统导入 Let's Encrypt 的中间证书,就可以顺利连接了。目前还没有找到更好的方法。

本文 "IKEv2 服务器证书不可接受" 由 K. Huang 首先发表于 xjpvictor's Blog 并以 CC BY-NC 4.0 许可证发布 © 2018
转载注明引用来源 https://blog.xjpvictor.info/2018/09/ikev2-invalid-server-cert/


推广:本博客使用 Linode VPS,口碑好,信誉佳,快速稳定,性价比高

打赏我

评论

你的邮箱地址不会被公开。必填项以 * 标出

无意义或不相关评论将被删除

允许使用以下html标签:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

你可以上传文件,粘贴代码或长文至 Drop.it.r

本博客是言论不自由博客,评论只接受询问及赞同,不同观点请出门左转微博/发表于自己的博客。谢谢合作!

评论意味着你 同意 上传部分私人数据,包括邮箱和 IP, 这些数据不会被分享给第三方,不会用于商业用途或再推广用途。

更多相似文章