我正在尝试在我的强天鹅服务器上使用 letencrypt 证书;但我也看到了我自己的内部 CA 的这种行为。
当尝试从 Windows 10 主机连接到强大的 swan 实例时,Windows 主机会显示其中一条非常有用的错误消息,即“IKE 身份验证凭据不可接受”。
当我将中间证书颁发机构证书安装到 Windows 主机上时,一切都连接得很好。当我在客户端上没有中间存在时(但它位于强天鹅服务器上的 cacerts 文件夹中),我收到错误。
所以在我看来,strong swan 并没有发送中间证书,但是花了几个小时追逐这个,我不知道如何强制发送中间证书。我可以看到它正在日志中发送最终实体证书,但没有提及中间体。
非常感谢任何指导。
所以事实证明,至少对于我在 Debian Buster 上安装的 strongswan 版本,Strongswan 拒绝在没有整个证书链存在的情况下将中间证书加载到它的存储中;也就是说,我必须下载根证书并将其添加到 cacerts 文件夹下,现在一切正常。