เหตุใดไคลเอนต์ StrongSwan charon-cmd จึงต้องการ --cert ตัวเลือกบรรทัดคำสั่งสำหรับใบรับรองลูกโซ่ CA หลายรายการ

deltamind106

20/9/23 22:36

ฉันมีเซิร์ฟเวอร์ StrongSwan charon บน Ubuntu 18.04 ฉันเชื่อมต่อกับเซิร์ฟเวอร์นี้ด้วยไคลเอนต์ StrongSwan charon-cmd จากเครื่อง Ubuntu Linux เครื่องอื่น

คำสั่งที่ฉันใช้จากเครื่องไคลเอนต์เพื่อเชื่อมต่อกับเซิร์ฟเวอร์คือ:

charon-cmd --cert ./GoDaddyCA1.crt --cert GoDaddyCA2.crt --host xxx.example.com --identity ชื่อผู้ใช้ของฉัน

มันใช้งานได้ดี แต่ฉันไม่เข้าใจว่าทำไมฉันถึงต้องการตัวเลือก "--cert" สองตัวในบรรทัดคำสั่งเพื่อเชื่อถือใบรับรอง CA ของ GoDaddy ทั้งสองในเครือข่าย

ใบรับรองส่วนบุคคลของฉันให้บริการโดยเซิร์ฟเวอร์ StrongSwan และสิทธิ์ของใบรับรองคือ GoDaddyCA1.crt ใบรับรอง GoDaddyCA1.crt มีสิทธิ์ของใบรับรอง GoDaddyCA2.crt GoDaddyCA2.crt เป็นใบรับรองหลักที่ลงนามด้วยตนเอง

ดังนั้นห่วงโซ่อำนาจคือ:

MyPersonalCert.crt -> GoDaddyCA1.crt -> GoDaddyCA2.crt

ความหมายของตัวเลือกบรรทัดคำสั่ง charon-cmd "--cert" คือการประกาศว่า "นี่คือใบรับรองที่ฉันเชื่อถือ" ดังนั้น ฉันคาดหวังว่าหากเชื่อถือ GoDaddyCA1.crt แล้ว ใบรับรองส่วนบุคคลของฉันก็ควรจะเชื่อถือได้เช่นกัน

แต่นั่นยังไม่ดีพอสำหรับ charon-cmd ไคลเอนต์ charon-cmd ต้องการให้ฉันระบุ "--cert" เพื่อเชื่อถือใบรับรองที่ลงนามด้วยตนเอง แต่ดูเหมือนว่าจะฟุ่มเฟือย หากฉันเชื่อถือใบรับรอง CA ระดับกลาง แน่นอนว่าฉันก็ต้องเชื่อถือใบรับรอง CA ของผู้มีอำนาจด้วยใช่ไหม

นี่เป็นข้อบกพร่องหรือคุณลักษณะหรือไม่ หากเป็นคุณสมบัติ มีประโยชน์อย่างไร

0 + 0

การแชร์ไฟล์

หงส์ที่แข็งแกร่ง

Score:1

Server

ecdsa

23/9/23 07:42

ขณะนี้ใบรับรอง CA ระดับกลางยังไม่ได้รับการยอมรับให้เป็น Trust Anchor ใน StrongSwan เฉพาะใบรับรอง CA หลักที่ลงนามด้วยตนเองเท่านั้น

หากเซิร์ฟเวอร์ส่งใบรับรอง CA ระดับกลางพร้อมกับใบรับรองเซิร์ฟเวอร์ คุณจะต้องเชื่อถือใบรับรอง CA หลักเท่านั้น (เช่น --ใบรับรอง GoDaddyCA2.crt ก็พอ) หากไม่มี ตรวจสอบให้แน่ใจว่าได้ติดตั้งแล้ว และตรวจสอบการกำหนดค่า (เช่น send_cert ใน swanctl.conf). เฉพาะในกรณีที่ไม่ใช่ตัวเลือก คุณไม่สามารถหลีกเลี่ยงการกำหนดค่าใบรับรองทั้งสองบนไคลเอนต์ได้

0 + 0

deltamind106

23/9/23 13:50

ขอบคุณสำหรับคำแนะนำนี้ ฉันไม่มีไดเร็กทอรี /etc/swanctl ในการแจกจ่าย Linux ของฉัน (Ubuntu 18.04) ดังนั้นฉันจึงไม่มีไฟล์ swanctl.conf (หรือฉันไม่รู้ว่าอยู่ที่ไหน) ฉันมี StrongSwan 5.6.2 เมื่อไม่กี่ปีที่ผ่านมา ดังนั้นนี่อาจเป็นไฟล์ปรับแต่งใหม่หรือไม่ มีการกำหนดค่าบางอย่างใน 5.6.2 ที่เป็นแบบอะนาล็อก ซึ่งจะอนุญาตให้ฉันกำหนดค่าเซิร์ฟเวอร์ให้ส่งใบรับรอง CA ระดับกลางหรือไม่

ตอบกลับ

ecdsa

24/9/23 06:54

เช็คว่าส่งแล้วหรือยัง? มิฉะนั้น ให้ตรวจสอบการตั้งค่า _leftsendcert_ ใน ipsec.conf และตรวจสอบว่ามีการติดตั้งใบรับรอง CA ระดับกลางใน `/etc/ipsec.d/cacerts`

ตอบกลับ

deltamind106

27/9/23 20:25

คุณพูดถูก เมื่อฉันเพิ่มใบรับรองระดับกลางไปยังไดเร็กทอรี /etc/ipsec.d/cacerts จากนั้นระบบจะส่งโดยอัตโนมัติ ดังนั้นจึงไม่ต้องกำหนดค่าใดๆ และใช้งานได้ทันทีโดยที่ไคลเอ็นต์ไม่จำเป็นต้องเชื่อถือใบรับรองหลายรายการ ขอบคุณ!

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Why does StrongSwan charon-cmd client require the --cert command-line option for multiple CA chain certificates?

TH: เหตุใดไคลเอนต์ StrongSwan charon-cmd จึงต้องการ --cert ตัวเลือกบรรทัดคำสั่งสำหรับใบรับรองลูกโซ่ CA หลายรายการ

RO: De ce clientul StrongSwan charon-cmd necesită opțiunea de linie de comandă --cert pentru mai multe certificate de lanț CA?

RU: Почему клиент StrongSwan charon-cmd требует параметр командной строки --cert для нескольких сертификатов цепочки ЦС?

VI: Tại sao ứng dụng khách StrongSwan charon-cmd yêu cầu tùy chọn dòng lệnh --cert cho nhiều chứng chỉ chuỗi CA?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา