V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V69EX
V2EX  ›  问与答

为了连接付费的 IKEv2 服务器,需要导入对方提供的证书,那么,证书目的应该设定为哪些呢?

  •  
  •   V69EX · 2015-11-25 17:45:02 +08:00 · 6384 次点击
    这是一个创建于 3290 天前的主题,其中的信息可能已经有所发展或是发生改变。

    导入证书时,默认是所有目的,感觉这是个很大的安全隐患,如果这个 v.p.n 服务器劫持我的通信,完全有可能签署一个木马程序扔给我,还能让我看不出破绽。

    那么,仅为了连接这个 v.p.n 的话,证书应该选择哪些“目的”呢?搜索了一会,貌似没人关心过这问题。

    28 条回复    2015-11-28 14:51:42 +08:00
    yexm0
        1
    yexm0  
       2015-11-25 17:57:45 +08:00   ❤️ 1
    因为这没必要,人家要是打算干坏事直接在服务器上记录下你的访问数据不更方便.
    V69EX
        2
    V69EX  
    OP
       2015-11-25 18:16:27 +08:00
    @yexm0 网络通信数据倒不要紧,敢从他那儿经过就表明我不担心。我担忧的是下载的可执行文件被篡改。
    V69EX
        3
    V69EX  
    OP
       2015-11-25 18:19:34 +08:00
    哦,上面的话说得可能有点自相矛盾。我的意思其实就是,网络通信数据被 v.p.n 获得不要紧,要紧的是可执行文件有可能被篡改。
    V69EX
        4
    V69EX  
    OP
       2015-11-25 18:20:56 +08:00
    毕竟一个“所有目的”的证书,是可以用于签署文件的。
    V69EX
        5
    V69EX  
    OP
       2015-11-25 18:22:57 +08:00
    看来还是继续用 pptp/l2tp 算了,唉。
    mfaner
        6
    mfaner  
       2015-11-25 18:25:15 +08:00   ❤️ 1
    那就不要用自签证书的 vpn 好了
    wdlth
        7
    wdlth  
       2015-11-25 18:25:53 +08:00   ❤️ 1
    只留最小的,身份验证等,像代码签名什么的就不要。
    sunyang
        8
    sunyang  
       2015-11-25 18:29:03 +08:00   ❤️ 1
    自己搭建一个也贵不了多少吧? 有些白菜价服务器,比你付费的都便宜
    jun0205
        9
    jun0205  
       2015-11-25 18:29:27 +08:00   ❤️ 1
    找那种不是自签证书的,可以不用导入证书。
    自己用的 ikev2 都不用自签证书了。
    zqqf16
        10
    zqqf16  
       2015-11-25 18:55:59 +08:00   ❤️ 1
    这都收费了,就不能去买证书么😞
    V69EX
        11
    V69EX  
    OP
       2015-11-25 20:54:14 +08:00
    @zqqf16 就是嘛,他们的网站就有合法签署的证书, v.p.n 却要让用户导入他们自签署的,怪事。。。
    V69EX
        12
    V69EX  
    OP
       2015-11-25 20:55:21 +08:00
    @jun0205
    @mfaner
    介绍个资费低的呗。。。。
    V69EX
        13
    V69EX  
    OP
       2015-11-25 21:01:35 +08:00
    @sunyang 曾经想过自己买 VPS ,结果最便宜的仍超出我的计划。我翻_墙不为别的,仅仅 Google play ,一月 1G 流量足够了,我现在用的这个只要 10 块钱,只要 VIP 流量不用完,每月都有 1G 免费流量,基本可以一直用下去了。。。:D

    Google 搜索我靠 hosts 解决,其它网站找 free ssl web proxy 。。。
    Luzifer
        14
    Luzifer  
       2015-11-25 23:09:12 +08:00   ❤️ 1
    AWS EC2 免费一年每月 15G , 速度还杠杠滴
    yexm0
        15
    yexm0  
       2015-11-25 23:15:45 +08:00   ❤️ 1
    求是 ss.5 块钱每个月,一堆节点随便你挑
    Quaintjade
        16
    Quaintjade  
       2015-11-25 23:26:14 +08:00
    那不是服务器证书,而是 CA 证书。
    你用的 ikev2 服务器应该是靠证书登录的吧?那么就必须信任这个 CA 证书,否则你的电脑会直接拒绝证书认证。

    CA 证书虽然也能申请,但会麻烦很多。
    Quaintjade
        17
    Quaintjade  
       2015-11-25 23:29:21 +08:00
    @jun0205
    那是用来证书登陆的 CA 证书,除了 startcom 还能从哪里搞?

    @zqqf16
    显然不是域名证书,应该是 CA 证书,不是很便宜。
    zqqf16
        18
    zqqf16  
       2015-11-26 12:45:03 +08:00
    @Quaintjade 如果服务器端的证书是授信的 CA 签发的,就不用再让用户安装 CA 了。
    服务商完全可以去买个证书作为未批嗯服务器的证书
    Quaintjade
        19
    Quaintjade  
       2015-11-26 13:23:49 +08:00
    @zqqf16
    不是的。
    你说的是 server cert ,只用于验证域名是否正确。
    我说的是 ca cert 和由该 ca cert 签发的 client cert ,用于证书登录,与 server cert 无关。服务商必须拥有这个 ca cert ,而不仅仅是由受信任 CA 签发一张服务器证书。
    zqqf16
        20
    zqqf16  
       2015-11-26 13:53:34 +08:00
    @Quaintjade 好吧,我以为装的是签发服务端证书的 CA 证书。
    不过话说回来,完全可以用 PSK 认证啊,证书多麻烦……
    Quaintjade
        21
    Quaintjade  
       2015-11-27 01:04:07 +08:00 via Android
    @jun0205
    刚试了下 wosign 签发的证书,好像不行。
    客户端是 win10 ,用自签证书没问题(客户端装自签 CA 证书)。

    你用的是谁家签的证书?中间证书顺序怎样排?
    我记得自签服务器证书要有--flag serverAuth --flag ikeIntermediate ,不知和这个有没有关系。
    jun0205
        22
    jun0205  
       2015-11-27 09:42:43 +08:00
    @Quaintjade 不好意思,我是用域名,用户名和密码登录的。用证书登录的我也没弄过。
    Quaintjade
        23
    Quaintjade  
       2015-11-27 13:31:26 +08:00 via Android
    @jun0205
    我说的就是用户名密码登录( rightauth=psk 或 eap-mschapv2 )。
    服务器域名是怎么认证的呢( leftauth=pubkey )?
    jun0205
        24
    jun0205  
       2015-11-27 15:30:44 +08:00   ❤️ 1
    @Quaintjade
    去服务器里面拿下来的配置,“ youdomain ”需要修改你对应的。
    CA 证书,域名证书和 key 放在 /etc/ipsec.d/ 对应的目录下面
    配置里面只配置了域名证书。

    要说明的是 leftid=@*.youdomain.com 改成你证书里面签的域名
    rightid=*@youdomain.com 这个无所谓填什么,主要是在 iOS 生成描述文件会用到。

    config setup
    uniqueids=never
    #charondebug="cfg 2, dmn 2, ike 2, net 2"
    #if uniqueids is yes, ipsec will only allow
    #one connection per user, which will cause
    #connect failed on iOS

    conn %default
    keyexchange=ikev2
    fragmentation=yes
    dpdaction=clear
    dpddelay=5s
    #auto destroy unused connections
    rekey=no
    left=%any
    leftsubnet=0.0.0.0/0
    leftcert=youdomain-cert.pem
    #server cert that will send to client
    leftsendcert=always
    #always send server cert
    #not set may cause cert failed
    right=%any
    rightdns=8.8.8.8,8.8.4.4
    #DNS send to client
    rightsourceip=10.11.0.0/24
    #DHCP Pool for client

    conn IPSec-IKEv2
    keyexchange=ikev2
    leftid=@*.youdomain.com
    #your servr name in cert
    rightid=*@youdomain.com
    #define a suffix for user account
    rightauth=eap-mschapv2
    #define auth type to EAP
    rightsendcert=never
    #do not need client cert
    eap_identity=%any
    #any user can login successfully
    auto=add

    conn IPSec-IKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    rightauth=eap-mschapv2
    rightsendcert=never
    eap_identity=%any
    auto=add

    conn CiscoIPSec
    keyexchange=ikev1
    leftsendcert=never
    #do not need server side cert
    leftauth=psk
    rightauth=psk
    #use PSK as client server auth type
    rightauth2=xauth
    #use xauth as user login auth type
    auto=add
    Quaintjade
        25
    Quaintjade  
       2015-11-27 22:27:36 +08:00
    @jun0205
    试了还是不行。
    应该是中间证书的问题,因为如果把中间证书加入 windows 客户端的受信中间证书里,就能连上。

    我觉得配置里面应该有个地方告诉 strongswan 应该发送哪张根证书 /中间证书。
    Quaintjade
        26
    Quaintjade  
       2015-11-27 22:51:22 +08:00
    @jun0205
    你能看一下你 windows 证书(本地计算机)里面,中间证书机构目录或者受信任根证书目录里,有没有中间证书?
    我觉得如果服务器证书的直接上级证书不在 Windows 客户端证书列表里,那么应该会 13801 错误的。
    jun0205
        27
    jun0205  
       2015-11-28 12:31:31 +08:00
    @Quaintjade
    计算机里面没有导入过证书。

    证书文件放在
    /etc/ipsec.d/cacerts/ 域名 CA
    /etc/ipsec.d/certs/ 域名 cert ,域名证书文件下面有加入 CA 证书
    /etc/ipsec.d/private/ 域名 key

    我目前设置的就是这样
    Quaintjade
        28
    Quaintjade  
       2015-11-28 14:51:42 +08:00 via Android
    @jun0205 那就奇怪了,我这明显是中间证书未被信任的问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1150 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:43 · PVG 02:43 · LAX 10:43 · JFK 13:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.