Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.ipsec.connections.NAME.leftcert

Что это такое?

Это сертификат X.509 для левой стороны.

Зачем это нужно?

Для аутентификации левой стороны на правой и передачи ключа RSA на правую сторону.

Как это настроить?

Вариант 1. Указать путь и имя файла, содержащего сертификат X.509. Сертификат может быть записан в формате PEM или DER (при этом суффикс имени файла не имеет значения, анализируется содержимое файла по существу). По существу, используется только свой сертификат; стороны обмениваются своими сертификатами в процессе создания SA.

Если указывается относительный путь, то он отсчитывается от директории /etc/ipsec.d/certs; внутри этой директории пользователь может создавать собственные директории, например, чтобы хранить сертификаты данного устройства отдельно от корневых сертификатов. Если сертификаты хранятся в ином месте, то необходимо указать абсолютный путь, например, например, /var/mounts/usb1/myPoopyCert.pem.

Сертификат можно поместить на устройство любым из доступных способов. Данный вариант требует доступа для пользователя root; исключением является перенос ключей и сертификатов на носителе USB или MicroSD, для которого можно обойтись встроенным минимумом файловых операций.

Вариант 2. Вставить непосредственно тело сертификата, в формате PEM, в данное поле. Это блок текста, обрамлённый строками

-----BEGIN CERTIFICATE-----
..............................................
-----END CERTIFICATE-----

включая сами эти строки. Всё, что находится вне этих строк, не имеет значения и не воспринимается. (В частности, текстовое описание сертификата и закрытый ключ, если он хранится в этом же файле.) Для работы IPsec сертификат экспортируется во временный файл в директории /tmp.

ПРИМЕЧАНИЕ. В данной реализации IPsec, если удалённая сторона (left/right) указана явным образом (по публичному IP-адресу, имени и др.), то поле *cert для этой стороны должно быть пустым — вопреки общей идее OpenSWAN о тождественных конфигурациях на обеих сторонах.

Что делать, если это не работает?

  1. Проверить по syslog, что при старте IPSec сертификат загрузился из нужного файла, без ошибок, и воспринят именно как сертификат данного хоста. См. сообщения вида Loading host certificate...
  2. Проверить по журналу удалённой стороны, что сертификат получен и признан действительным (подписан одним из удостоверяющих центров, чей сертификат имеется на той стороне, текущее время на ней попадает в сроки действия сертификата, и т.п.)
  3. Проверить по журналу удалённой стороны, что открытый ключ "нашей" стороны успешно извлечён из сертификата.
© Network Systems Group 2015–2026 Отдел документации