6.5. 使用基于证书的身份验证手动配置 IPsec 主机到站点 VPN

流程

1. 如果 Libreswan 尚未安装：

   1. 安装 libreswan 软件包：

      # dnf install libreswan

      Copy to Clipboard Toggle word wrap

   2. 初始化网络安全服务(NSS)数据库：

      # ipsec initnss

      Copy to Clipboard Toggle word wrap

      该命令在 /var/lib/ipsec/nss/ 目录中创建数据库。

   3. 启用并启动 ipsec 服务：

      # systemctl enable --now ipsec

      Copy to Clipboard Toggle word wrap

   4. 在防火墙中打开 IPsec 端口和协议：

      # firewall-cmd --permanent --add-service="ipsec"
      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

2. 将 PKCSautomationhub 文件导入到 NSS 数据库中：

   # ipsec import ~/file.p12
   Enter password for PKCS12 file: <password>
   pk12util: PKCS12 IMPORT SUCCESSFUL
   correcting trust bits for Example-CA

   Copy to Clipboard Toggle word wrap

3. 显示服务器和 CA 证书的 nicknames：

   # certutil -L -d /var/lib/ipsec/nss/
   Certificate Nickname     Trust Attributes
                            SSL,S/MIME,JAR/XPI
   
   vpn-gateway              u,u,u
   Example-CA               CT,,
   ...

   Copy to Clipboard Toggle word wrap

   您需要配置文件此信息。

4. 在 /etc/ipsec.d/ 目录中为连接创建一个 .conf 文件。例如，使用以下设置创建 /etc/ipsec.d/host-to-site.conf 文件：

   1. 添加 config setup 部分以启用 CRL 检查：

      config setup
          crl-strict=yes
          crlcheckinterval=1h

      Copy to Clipboard Toggle word wrap

      示例中指定的设置包括：

      crl-strict=yes

      启用 CRL 检查。如果 NSS 数据库中没有 CRL，则身份验证客户端将被拒绝。

      crlcheckinterval=1h

      在指定周期后，从服务器证书中指定的 URL 重新获取 CRL。

   2. 为网关添加部分：

      conn <connection_name>
          # General setup and authentication type
          auto=start
          ikev2=insist
          authby=rsasig
      
          # VPN gateway settings
          left=%defaultroute
          leftid=%fromcert
          leftcert="<server_certificate_nickname>"
          leftrsasigkey=%cert
          leftsendcert=always
          leftsubnet=192.0.2.0/24
          rekey=no
          mobike=yes
          narrowing=yes
      
          # Client-related settings
          right=%any
          rightid=%fromcert
          rightrsasigkey=%cert
          rightaddresspool=198.51.100.129-198.51.100.254
          rightmodecfgclient=yes
          modecfgclient=yes
          modecfgdns=192.0.2.5
          modecfgdomains="example.com"
      
          # Dead Peer Detection
          dpddelay=30
          dpdtimeout=120
          dpdaction=clear

      Copy to Clipboard Toggle word wrap

      示例中指定的设置包括：

      ikev2=insist

      将现代 IKEv2 协议定义为唯一允许的协议，而不回退到 IKEv1。

      left=%defaultroute

      当 ipsec 服务启动时，动态设置默认路由接口的 IP 地址。或者，您可以将 left 参数设置为 IP 地址或主机的 FQDN。

      leftid=%fromcert 和 rightid=%fromcert

      将 Libreswan 配置为从证书的可分辨名称(DN)字段检索身份。

      leftcert="<server_certificate_nickname>"

      设置 NSS 数据库中使用的服务器证书的别名。

      leftrsasigkey=%cert and rightrsasigkey=%cert

      将 Libreswan 配置为使用嵌入在证书中的 RSA 公钥。

      leftsendcert=always

      指示网关始终发送证书，以便客户端可以针对 CA 证书进行验证。

      leftsubnet=<subnets>

      指定连接到客户端可以通过隧道访问的网关的子网。

      mobike=yes

      使客户端能够在网络间无缝查找。

      rightaddresspool=<ip_range>

      指定网关可以从哪个范围分配 IP 地址到客户端。

      modecfgclient=yes

      启用客户端接收 modecfgdns 参数中设置的 DNS 服务器 IP，以及 modecfgdomains 中设置的 DNS 搜索域。

   有关示例中使用的所有参数的详情，请查看系统中的 ipsec.conf (5) 手册页。

5. 启用数据包转发：

   # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
   # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

   Copy to Clipboard Toggle word wrap

6. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

   如果您在配置文件中使用 auto=start，则连接会自动激活。使用其他方法时，需要执行额外的步骤来激活连接。详情请查看系统中的 ipsec.conf (5) 手册页。

验证

1. 配置客户端并连接到 VPN 网关。

2. 检查服务是否载入 CRL 并将条目添加到 NSS 数据库中：

   # ipsec listcrls
   
   List of CRLs:
   
   issuer: CN=Example-CA
   revoked certs: 1
   updates: this Tue Jul 15 10:22:36 2025
            next Sun Jan 11 10:22:36 2026
   
   List of CRL fetch requests:
   
   Jul 15 15:13:56 2025, trials: 1
          issuer:  'CN=Example-CA'
          distPts: 'https://ca.example.com/crl.pem'

   Copy to Clipboard Toggle word wrap

流程

1. 初始化网络安全服务(NSS)数据库：

   # ipsec initnss

   Copy to Clipboard Toggle word wrap

   该命令在 /var/lib/ipsec/nss/ 目录中创建数据库。

2. 将 PKCSautomationhub 文件导入到 NSS 数据库中：

   # ipsec import ~/file.p12
   Enter password for PKCS12 file: <password>
   pk12util: PKCS12 IMPORT SUCCESSFUL
   correcting trust bits for Example-CA

   Copy to Clipboard Toggle word wrap

3. 显示用户和 CA 证书的别名：

   # certutil -L -d /var/lib/ipsec/nss/
   Certificate Nickname     Trust Attributes
                            SSL,S/MIME,JAR/XPI
   
   user                     u,u,u
   Example-CA               CT,,
   ...

   Copy to Clipboard Toggle word wrap

   在配置文件中，您需要此信息。

4. 按 Super 键，键入 Settings，然后按 Enter 键打开 GNOME Settings 应用程序。
5. 点 VPN 条目旁边的 + 按钮。
6. 从列表中选择 基于 IPsec 的 VPN。

7. 在 Identity 选项卡中，按如下所示填写字段：

   Expand

   表 6.1. 身份选项卡 设置

   字段名称	value	Corresponding ipsec.conf parameter
   Name	<networkmanager_profile_name>	N/A
   网关	<ip_address_or_fqdn_of_the_gateway>	right
   Type	IKEv2 (certificate)	authby
   组名称	%fromcert	leftid
   证书名称	<user_certificate_nickname>	leftcert
   远程 ID	%fromcert	rightid

   Show more
8. 单击 Advanced。

9. 在 Advanced properties 窗口中，填写 connections 选项卡的字段，如下所示：

   Expand

   表 6.2. 连接 选项卡设置

   字段名称	value	Corresponding ipsec.conf parameter
   远程网络	192.0.2.0/24	rightsubnet
   缩小	已选择	缩小
   启用 MOBIKE	是	MOBIKE
   delay	30	dpddelay
   Timeout（超时）	120	dpdtimeout
   操作	清除	dpdaction

   Show more
10. 点 Apply 返回连接设置。
11. 点 Apply 保存连接。
12. 在 Settings 应用程序的 Network 选项卡中，切换 VPN 配置集旁的开关来激活连接。