6.3. 使用原始 RSA 密钥身份验证手动配置 IPsec 主机到主机的 VPN

流程

1. 如果 Libreswan 尚未安装，请执行以下步骤：

   1. 安装 libreswan 软件包：

      # dnf install libreswan

      Copy to Clipboard Toggle word wrap

   2. 初始化网络安全服务(NSS)数据库：

      # ipsec initnss

      Copy to Clipboard Toggle word wrap

      该命令在 /var/lib/ipsec/nss/ 目录中创建数据库。

   3. 启用并启动 ipsec 服务：

      # systemctl enable --now ipsec

      Copy to Clipboard Toggle word wrap

   4. 在防火墙中打开 IPsec 端口和协议：

      # firewall-cmd --permanent --add-service="ipsec"
      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

2. 创建 RSA 密钥对：

   # ipsec newhostkey

   Copy to Clipboard Toggle word wrap

   ipsec 实用程序将密钥对存储在 NSS 数据库中。

3. 指定您的同级服务器。在 IPsec 隧道中，您必须将一个主机指定为 left，另一个主机指定为 右。这是任意选择。常见的做法是调用您 左侧的 本地主机和 远程主机。

4. 在左侧和右侧显示证书密钥属性 ID (CKAID)：

   # ipsec showhostkey --list
   < 1> RSA keyid: <key_id> ckaid: <ckaid>

   Copy to Clipboard Toggle word wrap

   下一步需要两个对等点的 CKAID。

5. 显示公钥：

   1. 在左侧 peer 中，输入：

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
      	# rsakey AwEAAdKCx
      	leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

      Copy to Clipboard Toggle word wrap

   2. 在右 peer 中，输入：

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
      	# rsakey AwEAAcNWC
      	rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

      Copy to Clipboard Toggle word wrap

   命令会显示公钥，以及必须在配置文件中使用的对应参数。

6. 在 /etc/ipsec.d/ 目录中为连接创建一个 .conf 文件。例如，使用以下设置创建 /etc/ipsec.d/host-to-host.conf 文件：

   conn <connection_name>
       # General setup and authentication type
       auto=start
       authby=rsasig
   
       # Peer A
       left=<ip_address_or_fqdn_of_left_peer>
       leftid=@peer_a
       leftrsasigkey=<public_key_of_left_peer>
   
       # Peer B
       right=<ip_address_or_fqdn_of_right_peer>
       rightid=@peer_b
       rightrsasigkey=<public_key_of_right_peer>

   Copy to Clipboard Toggle word wrap
   注意

   您可以在两个主机上使用相同的配置文件，Libreswan 使用内部信息在左侧还是右侧主机上运行。但是，务必要确保 left* 参数中的所有值都属于一个 peer，并且 right* 参数中的值属于另一个。

   示例中指定的设置包括：

   conn <connection_name>

   定义连接名称。名称是任意名称，Libreswan 使用它来识别连接。您必须在这个连接中缩进参数，至少使用一个空格或标签页。

   auto=<type>

   控制如何发起连接。如果将值设为 启动，Libreswan 会在服务启动时自动激活连接。

   authby=rsasig

   为此连接启用 RSA 签名身份验证。

   left= <ip_address_or_fqdn_of_left_peer> 和 right= <ip_address_or_fqdn_of_right_peer>

   定义对等点的 IP 地址或 DNS 名称。

   leftid= <id> 和 rightid= <id>

   定义如何在互联网密钥交换(IKE)协商过程中识别每个对等点。这可以是完全限定域名(FQDN)、IP 地址或字面字符串。在后者的情况下，在字符串前面加上 @ 符号。

   leftrsasigkey=<public_key> and rightrsasigkey=<public_key>

   指定对等点的公钥。使用上一步中 ipsec showhostkey 命令显示的值。

7. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

   如果您在配置文件中使用 auto=start，则连接会自动激活。使用其他方法时，需要执行额外的步骤来激活连接。详情请查看系统中的 ipsec.conf (5) 手册页。