在Debian 11云服务器上使用StrongSwan配置 VPN 服务

一、安装 StrongSwan

apt install strongswan strongswan-pki

二、生成相关证书

// 自签 CA
pki --gen --outform pem > ca.key.pem
pki --self --in ca.key.pem --dn "C=CN, O=StrongSwan, CN=StrongSwan CA" --ca --outform pem > ca.cert.pem

// 创建服务器证书
pki --gen --outform pem > server.key.pem
pki --pub --in server.key.pem | pki --issue --cacert ca.cert.pem --cakey ca.key.pem --dn "C=CN, O=StrongSwan, CN=StrongSwan Server" --san="服务器的IP或域名" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem

// 创建客户端证书
pki --gen --outform pem > client.key.pem
pki --pub --in client.key.pem | pki --issue --cacert ca.cert.pem --cakey ca.key.pem --dn "C=com, O=StrongSwan, CN=VPN Client" --outform pem > client.cert.pem

// 生成p12客户端格式证书
openssl pkcs12 -export -inkey client.key.pem -in client.cert.pem -name "VPN Client" -certfile ca.cert.pem -caname "StrongSwan CA" -out client.cert.p12

三、安装证书

cp ca.cert.pem /etc/ipsec.d/cacerts/
cp server.cert.pem /etc/ipsec.d/certs/
cp server.key.pem /etc/ipsec.d/private/
cp client.cert.pem /etc/ipsec.d/certs/
cp client.key.pem /etc/ipsec.d/private/