主页 / computer / 问题 / 1817865
Accepted
Amit
Asked: 2023-11-23 22:43:55 +0800 CST

如何使用 XCA* 创建 CA + 2 证书 - 用于主机到主机 IPSec 身份验证(无 AD)

  • 772

(这是一个关于使用XCA,而不是 的问题openssl就是我的动机)

我创建了 CA、服务器和客户端证书:

  • 在 XCA 中,我是否需要以不同的方式创建这些证书?
  • 每个证书是否都有所需的密钥用法和扩展密钥用法的确切列表(例如,所有必要的内容,无需额外)
    • 客户端证书有密钥用法Certificate Sign,看起来不太好。

执行的步骤:

  1. 我从 Microsoft Store安装了XCA :
  2. 我从 Fortinet 阅读了使用 XCA 创建证书并创建了:
    截图1

    1. 加利福尼亚州: RDP_CA

    2. IPSec 服务器: WS_RDP
      我想要通过 RDP 访问的工作站
      截图2

    3. IPSec 客户端: PAW_RDP
      唯一不应被拒绝的特权客户端
      截图2

windows

1 个回答

  1. Best Answer

    我找到了方法:

    1. 从 Windows 应用商店安装 XCA:(
      截至 2023 年 11 月 24 日,v2.5.0 使用 2023 年 8 月起的 OpenSSL v3.1.2.1)
      截图1

    2. 为 XCA 数据库准备一个干净的 USB 记忆棒运行 XCA

    3. 在 U 盘上创建一个新数据库:Home.xcd
      该数据库受密码保护,因此需要选择一个以供将来使用
      截图2

    4. 选项卡:模板
      XCA 有四个默认模板,适用于任何任意、非特定的用例

      1. [default] Empty template
      2. [default] CA
      3. [default] TLS_Client
      4. [default] TLS_Server

    5. 新 tepmlate &更改模板编辑 XCA 模板对话框
      对于 IPSec 证书,我生成了三个新模板

      1. IPSec_CA_Template (继承自4.2)
      2. IPSec_Client_Template (继承自4.3)
      3. IPSec_Server_Template (继承自4.4)
        截图3

    6. 选项卡:密钥用途
      选择密钥用途 (KU)、扩展 KU (EKU) 和关键(可选)
      在此输入图像描述

      1. 加利福尼亚州:

        keyUsage=critical,digitalSignature, keyCertSign, cRLSign

      2. 客户:

        keyUsage=critical,digitalSignature, keyEncipherment
extendedKeyUsage=critical,clientAuth

      3. 服务器:

        keyUsage=critical,digitalSignature, keyEncipherment, keyAgreement
extendedKeyUsage=critical,serverAuth

    7. 选项卡:主题
      截图5

    8. Tab:Netscape
      取消全选并删除评论


    自定义模板准备好后 - 这是任何新证书的起点


    创建新证书
    我遵循Fortinet 的《使用 XCA 创建证书》手册来创建证书,但使用第 5 节中的自定义模板。由于自定义模板包含所有数据,包括 和SubjectExtensions因此需要单击Apply All而不是按Apply Extensions书面形式单击在手册中。服务器证书示例:

    在此输入图像描述


    [For Client / Server certificate. Not for CA]
    (2nd thing after tab Source) The only thing that is not in the template is the X509v3 Subject Alternative Name. It should be entered specifically with the hostname and the domain of the entity for whom the certificate is issued.
    Since it is a DHCP-enabled environment, fixed IPs are not assumed, and instead, a hostname.domain syntax is used. Refer to the appendix for information about configuring local-domain.

    在此输入图像描述



    Resultant V3 Profiles:
    Here are the X509v3 extensions (in compare with this reference)

    • CA: (The reference has also: authorityKeyIdentifier)

      basicConstraints=critical,CA:TRUE
keyUsage=critical,digitalSignature, keyCertSign, cRLSign
subjectKeyIdentifier=hash

    • Client: (The reference has also: authorityKeyIdentifier, nonrepudiation (KU))

      subjectAltName=critical,DNS:DESKTOP-KGXWQ2R.home
extendedKeyUsage=critical,clientAuth
keyUsage=critical,digitalSignature, keyEncipherment
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE

    • 服务器:( 参考文献还有:authorityKeyIdentifiernonRepudiation(KU))

      subjectAltName=critical,DNS:DESKTOP-24JFXST.home
extendedKeyUsage=critical,serverAuth
keyUsage=critical,digitalSignature, keyEncipherment, keyAgreement
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE
    • 根据下面的评论,authorityKeyIdentifier “通常不是强制性的”nonRepudiation “不用于任何网络协议”


    附录:本地域

    对于本地域,home我必须配置我的路由器(仅接受该字段a-z-字符):

    在此输入图像描述

    要验证计算机是否在home本地域内,请打开cmd.exe并输入:

    ipconfig /all

    应该看到这一点: 在此输入图像描述

    • 2

相关问题