LINUX.ORG.RU

История изменений

Исправление Nao, (текущая версия) :

Нет, он установил себе мой сертификат как доверенный

За все клиентские устройства не скажу, но у меня настраивается так через штатный клиент в Android 4.2:

1. Импортирую бандл p12 с приватным ключом клиента, сертификатом клиента и сертификатом CA
2. Удаляю импортированный сертификат CA из доверенных (вообще не логично что он туда сам добавился).
3. Создаю новое VPN подключение с типом IPsec Xauth RSA
4. Выбираю в полях «Сертификат пользователя» и «Сертификат ЦС» (CA?) то что импортировал ранее.
5. Сертификат сервера не выбираю (сертификат получается с сервера).

Получается что в доверенных у ОС нашего сертификата CA нету, а в соединении он указан и используется для проверки сертификата, который присылает сервер.


В клиенте strongswan просто так настроить не получилось (не даёт выбрать сертификат CA если он не стоит как доверенный в ОС), но вроде можно импортировать сертификаты, ключи и конфиг в само приложение через файлы *.sswan:
https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClientProfiles
Пишут что системное хранилище сертификатов не будет использоваться, я сам этот метод не проверял.

Исходная версия Nao, :

Нет, он установил себе мой сертификат как доверенный

За все клиентские устройства не скажу, но у меня настраивается так через штатный клиент в Android 4.2:

1. Импортирую бандл p12 с приватным ключом клиента, сертификатом клиента и сертификатом CA
2. Удаляю импортированный сертификат CA из доверенных.
3. Создаю новое VPN подключение с типом IPsec Xauth RSA
4. Выбираю в полях «Сертификат пользователя» и «Сертификат ЦС» (CA?) то что импортировал ранее.
5. Сертификат сервера не выбираю (сертификат получается с сервера).

Получается что в доверенных у ОС нашего сертификата CA нету, а в соединении он указан и используется для проверки сертификата, который присылает сервер.


В клиенте strongswan просто так настроить не получилось (не даёт выбрать сертификат CA если он не стоит как доверенный в ОС), но вроде можно импортировать сертификаты, ключи и конфиг в само приложение через файлы *.sswan:
https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClientProfiles
Пишут что системное хранилище сертификатов не будет использоваться, я сам этот метод не проверял.