6.3. 手动配置具有原始 RSA 密钥身份验证的 IPsec 主机到主机 VPN

流程

1. 如果 Libreswan 尚未安装，请执行以下步骤：

   1. 安装 libreswan 软件包：

      # dnf install libreswan

      Copy to Clipboard Toggle word wrap

   2. 初始化网络安全服务(NSS)数据库：

      # ipsec initnss

      Copy to Clipboard Toggle word wrap

      命令在 /var/lib/ipsec/nss/ 目录下创建数据库。

   3. 启用并启动 ipsec 服务：

      # systemctl enable --now ipsec

      Copy to Clipboard Toggle word wrap

   4. 在防火墙中打开 IPsec 端口和协议：

      # firewall-cmd --permanent --add-service="ipsec"
      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

2. 创建一个 RSA 密钥对：

   # ipsec newhostkey

   Copy to Clipboard Toggle word wrap

   ipsec 工具将密钥对存储在 NSS 数据库中。

3. 指定您的对等服务器。在 IPsec 隧道中，您必须将一个主机指定为 left，将另一个主机指定为 right。这是一个武断的选择。常见的做法是调用您的本地主机 left 和远程主机right。

4. 在左侧和右侧显示证书密钥属性 ID (CKAID)：

   # ipsec showhostkey --list
   < 1> RSA keyid: <key_id> ckaid: <ckaid>

   Copy to Clipboard Toggle word wrap

   后面步骤中需要两个对等点的 CKAID。

5. 显示公钥：

   1. 在左侧对等点中，输入：

      # ipsec showhostkey --left --ckaid <ckaid_of_left_peer>
      	# rsakey AwEAAdKCx
      	leftrsasigkey=0sAwEAAdKCxpc9db48cehzQiQD...

      Copy to Clipboard Toggle word wrap

   2. 在右侧对等点中，输入：

      # ipsec showhostkey --right --ckaid <ckaid_of_right_peer>
      	# rsakey AwEAAcNWC
      	rightrsasigkey=0sAwEAAcNWCzZO+PR1j8WbO8X...

      Copy to Clipboard Toggle word wrap

   命令显示公钥，以及必须在配置文件中使用的相应参数。

6. 在 /etc/ipsec.d/ 目录中为连接创建一个 .conf 文件。例如，使用以下设置创建 /etc/ipsec.d/host-to-host.conf 文件：

   conn <connection_name>
       # General setup and authentication type
       auto=start
       authby=rsasig
   
       # Peer A
       left=<ip_address_or_fqdn_of_left_peer>
       leftid=@peer_a
       leftrsasigkey=<public_key_of_left_peer>
   
       # Peer B
       right=<ip_address_or_fqdn_of_right_peer>
       rightid=@peer_b
       rightrsasigkey=<public_key_of_right_peer>

   Copy to Clipboard Toggle word wrap
   注意

   您可以在两个主机上使用相同的配置文件，Libreswan 使用内部信息识别其在左还是右主机上运行。但是，重要的是 left* 参数中的所有值都属于一个对等点，right* 参数中的值属于另一个对等点。

   示例中指定的设置包括：

   conn <connection_name>

   定义连接名称。名称是任意的，Libreswan 使用它来识别连接。您必须至少使用一个空格或标签页缩进这个连接中的参数。

   auto=<type>

   控制如何发起连接。如果将值设为 start，Libreswan 会在服务启动时自动激活连接。

   authby=rsasig

   为此连接启用 RSA 签名身份验证。

   left=<ip_address_or_fqdn_of_left_peer> and right=<ip_address_or_fqdn_of_right_peer>

   定义对等点的 IP 地址或 DNS 名称。

   leftid=<id> and rightid=<id>

   定义在互联网密钥交换(IKE)协商过程中每个对等点是如何被识别的。这可以是一个完全限定域名(FQDN)、IP 地址或字面字符串。在后一种情况，在字符串前面加上 @ 符号。

   leftrsasigkey=<public_key> and rightrsasigkey=<public_key>

   指定对等点的公钥。使用上一步中 ipsec showhostkey 命令显示的值。

7. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

   如果您在配置文件中使用 auto=start，则连接会自动激活。使用其他方法时，需要执行额外的步骤来激活连接。详情请查看您系统上的 ipsec.conf (5) 手册页。