Olá pessoal, sejam bem vindo ao blog da Cuidado Digital.
Nesse tutorial teremos uma vídeo aula do processo de configuração do IpSec StrongSwan no Debian Squeeze usando certificados digitais.
Espero que gostem da vídeo aula, dúvidas, comentários e criticas envie um e-mail para [email protected]
Configuração
apt-get install strongswan ntpdate
# ntpdate a.ntp.br
Configurar o OpenSSL
/etc/ssl/openssl.conf e edite as seguintes linhas:
dir = /etc/ipsec.d
certificate = $dir/cacerts/cacert.pem
private_key = $dir/private/cakey.pem
Criar os arquivos index.txt e serial
cd /etc/ipsec.d
# touch index.txt
# touch serial
# echo 01 > serial
Criar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509 com 4 anos de duração
# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem
Preenchimento das informações do CA
Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Autoridade Certificadora
Email Address []:[email protected]
Preenchimento das informações do Servidor SOL (Matriz)
# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem
Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:servidor
Email Address []:[email protected]
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Preenchimento das informações do Servidor LUA (Filial)
# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem
Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:cliente
Email Address []:[email protected]
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente
# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem
# openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pem
Após criação de todos os certificados transferir chaves públicas, privadas e CA para o cliente
Utilize o SCP ou outro método de preferência.
Configuração do Servidor SOL
# sol
/etc/ipsec.conf
config setup
charondebug=”ike 2, knl 3, cfg 0″
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no
conn servidor
left=192.168.32.132
leftsubnet=192.168.100.0/24
leftcert=servidorCert.pem
right=192.168.32.133
rightsubnet=192.168.200.0/24
rightid=”C=br, ST=go, O=cuidadodigital, CN=cliente, [email protected]”
auto=add
/etc/ipsec.secretes
: RSA cliente.pem “1234”
: RSA servidor.pem “1234”
Configuração do Servidor LUA
# lua
/etc/ipsec.conf
config setup
charondebug=”ike 2, knl 3, cfg 0″
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no
conn servidor
left=192.168.32.133
leftsubnet=192.168.200.0/24
leftcert=clienteCert.pem
right=192.168.32.132
rightsubnet=192.168.100.0/24
rightid=”C=br, ST=go, O=cuidadodigital, CN=servidor, [email protected]”
auto=add
/etc/ipsec.secrets
: RSA cliente.pem “1234”
: RSA servidor.pem “1234”
[ad] [ad] [ad] [ad]
Sobre o Autor