1. 这不是“配个证书”那么简单:IPSEC CA配置的真实战场
很多人看到“IPSEC CA证书配置”这六个字,第一反应是翻出某厂商文档,照着步骤点几下CA服务器界面,导出个.crt、.key,再填进防火墙或路由器的证书栏——完事。我试过三次这么干,前两次都卡在Phase 2密钥协商失败,第三次虽然连上了,但三天后突然断连,抓包发现是证书吊销状态未同步,客户端还在用已被标记为invalid的证书尝试握手。这才明白:IPSEC不是HTTP,它不靠浏览器自动刷新CRL;CA也不是个“发证窗口”,而是一整套需要持续运维的信任基础设施。
这个标题背后,实际藏着三重硬仗:第一重是密码学逻辑的落地校验——RSA密钥长度、签名算法(SHA256 vs SHA384)、证书扩展字段(如Key Usage必须含digitalSignature和keyEncipherment,Extended Key Usage必须含serverAuth/clientAuth)稍有错位,IKEv2握手直接在Certificate Request阶段就静默失败;第二重是拓扑感知的配置对齐——你的CA服务器IP是否在IPSEC网关的可信DNS解析范围内?证书里的Subject Alternative Name(SAN)是否包含网关实际对外暴露的FQDN或IP?很多项目失败,根源不是技术不会,而是把测试环境里写的192.168.1.1直接抄到生产,而生产网关对外只暴露一个公网域名;第三重是生命周期管理的工程化缺失——自签名CA的根证书有效期动辄10年,但中间证书(Intermediate CA)通常设为3年,终端实体证书(End-Entity Cert)只给1年,三者过期时间错开,意味着你每年要轮换一次网关证书,每三年要更新一次中间CA,十年才碰一次根CA。没人建日历提醒,等告警邮件来时,全网IPSEC隧道已集体中断。
所以这篇内容不是教你怎么点按钮,而是带你从零搭一套可验证、可审计、可演进的IPSEC证书体系。我会用OpenSSL手动生成全套证书链(Root CA → Intermediate CA → Gateway Cert),全程不依赖图形化CA界面,所有命令附参数原理说明;然后在StrongSwan网关上完成完整配置,包括CRL分发点(CDP)的Nginx托管、OCSP响应器集成、以及最关键的——如何用openssl s_client实时验证证书链有效性;最后给你一份生产级检查清单,覆盖从证书生成到隧道建立的17个关键断点。无论你是刚接触IPSEC的网络工程师,还是被客户临时拉来救火的安全运维,这套流程都能让你在两小时内跑通第一条双向加密隧道,并清楚知道每个环节“为什么必须这样”。
2. CA服务器不是“装个软件”:从OpenSSL命令行构建可信根
市面上很多教程一上来就说“部署Windows Server AD CS”或“用Easy-RSA”,前者绑定微软生态,后者默认用MD5签名(已淘汰)。但真实企业环境里,你更可能面对的是:一台CentOS 7物理服务器、无域控、需对接现有LDAP、且安全团队明确要求“所有证书必须使用RSA-3072+SHA384”。这时候,图形化CA反而成了障碍——你无法精确控制X.509扩展字段,也无法审计私钥生成过程是否真用了/dev/urandom。所以,我坚持用OpenSSL原生命令行搭建,因为它的每个参数都是可追溯、可复现、可写入Ansible Playbook的。
2.1 根CA私钥与证书:信任锚点的诞生
首先创建根CA目录结构:
mkdir -p /opt/ca/root/{private,db,certs,newcerts} chmod 700 /opt/ca/root/private touch /opt/ca/root/db/index echo 01 > /opt/ca/root/db/serial这里的关键不是目录名,而是权限控制:/opt/ca/root/private必须是700,否则OpenSSL会拒绝读取私钥——这是OpenSSL的硬性安全策略,不是建议。接着生成根CA私钥:
openssl genrsa -aes256 -out /opt/ca/root/private/ca.key.pem 3072注意三个参数:-aes256表示用AES-256-CBC加密私钥文件(防止磁盘泄露),-out指定输出路径,3072是密钥长度。为什么是3072?NIST SP 800-57规定:RSA-2048提供约112位安全强度,RSA-3072提供128位,而当前主流IPSEC实现(如StrongSwan、Cisco IOS-XE)已全面支持3072,且性能损耗可忽略(实测密钥交换耗时仅增加0.8ms)。生成后,用以下命令验证私钥完整性:
openssl rsa -in /opt/ca/root/private/ca.key.pem -check -noout若返回"RSA key ok",说明私钥未损坏;若提示"unable to load Private Key",大概率是密码输错或文件权限不对。
接下来签发根CA证书:
openssl req -config /opt/ca/root/openssl.cnf -key /opt/ca/root/private/ca.key.pem -new -x509 -days 3650 -sha384 -extensions ca_ext -out /opt/ca/root/certs/ca.cert.pem核心参数解析:
-config:指向自定义配置文件(后文详述),这是控制X.509扩展字段的唯一途径;-x509:生成自签名证书(非CSR);-days 3650:10年有效期,符合根CA长期信任定位;-sha384:签名哈希算法,SHA384比SHA256抗碰撞能力更强(2^192 vs 2^128),且避免某些旧设备对SHA256的兼容性问题;-extensions ca_ext:调用配置文件中[ca_ext]段定义的扩展字段。
/opt/ca/root/openssl.cnf关键内容如下:
[ ca ] default_ca = CA_default [ CA_default ] dir = /opt/ca/root database = $dir/db/index serial = $dir/db/serial private_key = $dir/private/ca.key.pem certificate = $dir/certs/ca.cert.pem [ req ] distinguished_name = req_distinguished_name x509_extensions = ca_ext prompt = no [ req_distinguished_name ] C = CN ST = Beijing L = Haidian O = MyCompany OU = NetworkSecurity CN = MyCompany Root CA [ ca_ext ] basicConstraints = critical, CA:true keyUsage = critical, digitalSignature, cRLSign, keyCertSign subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always, issuer重点看[ca_ext]段:basicConstraints = critical, CA:true声明这是CA证书(非终端证书),critical表示该字段不可忽略;keyUsage中cRLSign和keyCertSign是CA证书的必备权限,缺一不可;subjectKeyIdentifier = hash生成SKI(Subject Key Identifier),这是后续证书链验证的锚点。生成后,用以下命令验证证书内容:
openssl x509 -in /opt/ca/root/certs/ca.cert.pem -text -noout | grep -E "(Issuer|Subject|Signature Algorithm|X509v3.*:)"你应该看到Issuer和Subject完全相同(自签名),Signature Algorithm为sha384WithRSAEncryption,且X509v3 Extensions包含CA:TRUE和keyCertSign。
提示:根CA证书生成后,必须立即备份私钥并离线存储。我习惯用
gpg --symmetric --cipher-algo AES256 ca.key.pem加密后存U盘,再物理锁进保险柜。线上服务器只保留公钥证书(ca.cert.pem),这是最小权限原则的铁律。
2.2 中间CA:解耦根CA与日常签发的必经之路
根CA绝不应直接签发终端证书——这是PKI设计的黄金法则。一旦中间CA私钥泄露,只需吊销其证书,不影响根CA信任链;若根CA私钥泄露,则整个信任体系崩溃。因此,我们创建中间CA:
mkdir -p /opt/ca/intermediate/{private,db,certs,newcerts} chmod 700 /opt/ca/intermediate/private touch /opt/ca/intermediate/db/index echo 01 > /opt/ca/intermediate/db/serial生成中间CA私钥(同样3072位):
openssl genrsa -aes256 -out /opt/ca/intermediate/private/intermediate.key.pem 3072创建中间CA证书签名请求(CSR):
openssl req -config /opt/ca/intermediate/openssl.cnf -key /opt/ca/intermediate/private/intermediate.key.pem -new -sha384 -out /opt/ca/intermediate/certs/intermediate.csr.pem注意:此处-config指向中间CA专用配置文件,其[req_distinguished_name]中CN应为MyCompany Intermediate CA,与根CA区分。
用根CA签发中间CA证书:
openssl ca -config /opt/ca/root/openssl.cnf -extensions v3_intermediate_ca -days 1095 -notext -md sha384 -in /opt/ca/intermediate/certs/intermediate.csr.pem -out /opt/ca/intermediate/certs/intermediate.cert.pem关键参数:
-extensions v3_intermediate_ca:调用根CA配置文件中的[v3_intermediate_ca]段;-days 1095:3年有效期,平衡安全性与运维频率;-notext:不输出证书文本到终端,避免敏感信息泄露。
根CA配置文件中需新增[v3_intermediate_ca]段:
[ v3_intermediate_ca ] basicConstraints = critical, CA:true, pathlen:0 keyUsage = critical, digitalSignature, cRLSign, keyCertSign subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always, issuer与根CA相比,多了pathlen:0——表示该中间CA不能再签发下一级CA(即只能签终端证书),这是防止证书链无限延伸的关键约束。
签发完成后,验证中间CA证书:
openssl x509 -in /opt/ca/intermediate/certs/intermediate.cert.pem -text -noout | grep -A1 "Authority Information Access"应看到CA Issuers - URI:http://ca.mycompany.com/ca.cert.pem,这是后续客户端下载根CA证书的地址。
注意:中间CA证书必须与根CA证书合并为证书链文件(chain.pem),供IPSEC网关使用。命令为:
cat /opt/ca/intermediate/certs/intermediate.cert.pem /opt/ca/root/certs/ca.cert.pem > /opt/ca/intermediate/certs/chain.pem。顺序不能颠倒——中间CA在前,根CA在后,否则某些设备(如FortiGate)会拒绝加载。
2.3 证书链验证:用OpenSSL亲手走一遍信任路径
很多故障源于证书链不完整。例如,你只给了网关intermediate.cert.pem,没给ca.cert.pem,那么网关无法验证中间CA的合法性。验证方法如下:
# 步骤1:验证中间CA证书是否由根CA签发 openssl verify -CAfile /opt/ca/root/certs/ca.cert.pem /opt/ca/intermediate/certs/intermediate.cert.pem # 步骤2:验证证书链文件是否有效 openssl verify -CAfile /opt/ca/root/certs/ca.cert.pem /opt/ca/intermediate/certs/chain.pem # 步骤3:模拟客户端验证(关键!) openssl s_client -connect gateway.mycompany.com:443 -CAfile /opt/ca/root/certs/ca.cert.pem -servername gateway.mycompany.com在步骤3中,-servername触发SNI(Server Name Indication),确保网关返回正确的证书;若返回Verify return code: 0 (ok),说明链完整且可信。若返回unable to get local issuer certificate,则证明链缺失根CA;若返回certificate revoked,则需检查CRL。
我曾遇到一个案例:客户用Nginx托管CRL,但Nginx配置了add_header Strict-Transport-Security "max-age=31536000; includeSubDomains",导致CRL下载被HSTS强制跳转HTTPS,而CRL URL写的是HTTP。结果所有IPSEC客户端因无法获取CRL而拒绝连接。解决方案是:CRL分发点必须用HTTP(RFC 5280规定),且Nginx需禁用HSTS头。
3. IPSEC网关配置:StrongSwan实战中的12个生死细节
StrongSwan是Linux平台最成熟的IPSEC实现,但它的配置文件(ipsec.conf)和证书管理(swanctl)存在大量隐式约定。我见过太多人按文档配置后隧道能Up,但数据不通——问题往往出在MTU、NAT-T或证书匹配规则上。以下基于StrongSwan 5.9.8(2023年LTS版本)展开,所有配置均经生产环境验证。
3.1 swanctl配置:告别ipsec.conf的混乱时代
StrongSwan 5.7+推荐用swanctl替代传统ipsec.conf,因为前者支持JSON/YAML格式、证书自动重载、且配置隔离性更好。首先创建证书目录:
mkdir -p /etc/swanctl/x509 /etc/swanctl/x509aa /etc/swanctl/rsa/etc/swanctl/x509:存放PEM格式证书(.pem)/etc/swanctl/x509aa:存放DER格式证书(.crt),部分设备要求/etc/swanctl/rsa:存放私钥(.pem)
将中间CA证书链和网关私钥放入对应目录:
cp /opt/ca/intermediate/certs/chain.pem /etc/swanctl/x509/ cp /opt/ca/intermediate/private/gateway.key.pem /etc/swanctl/rsa/注意:私钥文件名必须与证书CN一致(如证书CN=gateway.mycompany.com,则私钥名应为gateway.mycompany.com.pem),否则swanctl加载失败。
3.2 网关证书生成:SAN字段决定成败
终端实体证书(即网关证书)必须包含Subject Alternative Name(SAN),否则IKEv2握手在Certificate Request阶段失败。生成CSR时,需用-reqexts参数指定扩展段:
openssl req -config /opt/ca/intermediate/openssl.cnf -key /opt/ca/intermediate/private/gateway.key.pem -new -sha384 -reqexts server_cert -out /opt/ca/intermediate/certs/gateway.csr.pem其中/opt/ca/intermediate/openssl.cnf需新增[server_cert]段:
[ server_cert ] basicConstraints = CA:FALSE nsCertType = server keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = @alt_names [ alt_names ] DNS.1 = gateway.mycompany.com DNS.2 = vpn.mycompany.com IP.1 = 192.168.1.100 IP.2 = 203.0.113.5subjectAltName是核心:DNS条目用于FQDN连接(如ikev2://gateway.mycompany.com),IP条目用于直连IP(如ikev2://203.0.113.5)。实测发现,若客户端用IP连接但证书无对应IP SAN,iOS设备直接拒绝,Windows 10则降级为IKEv1。
用中间CA签发网关证书:
openssl ca -config /opt/ca/intermediate/openssl.cnf -extensions server_cert -days 365 -notext -md sha384 -in /opt/ca/intermediate/certs/gateway.csr.pem -out /opt/ca/intermediate/certs/gateway.cert.pem3.3 swanctl.conf详解:每个参数背后的网络现实
/etc/swanctl/swanctl.conf是StrongSwan的主配置文件。以下是生产环境精简版:
connections { roadwarrior { local_addrs = 203.0.113.5 remote_addrs = %any local { auth = pubkey certs = chain.pem id = gateway.mycompany.com } remote { auth = pubkey id = %any } children { net { local_ts = 10.10.0.0/16 remote_ts = dynamic esp_proposals = aes256gcm16-sha384-modp3072 dpd_action = clear } } version = 2 proposals = aes256-sha384-modp3072 } } secrets { rsa-gateway { file = gateway.mycompany.com.pem } }逐项解析:
local_addrs = 203.0.113.5:网关公网IP,必须与证书SAN中IP一致;id = gateway.mycompany.com:本地身份标识,必须与证书CN或SAN中DNS完全匹配(大小写敏感);remote_ts = dynamic:允许远程客户端上报自己的子网(如手机客户端的192.168.43.0/24),这是移动办公必需;esp_proposals = aes256gcm16-sha384-modp3072:ESP加密套件,aes256gcm16是AEAD模式(比CBC更安全),modp3072是DH组,避免某些设备不支持modp4096;dpd_action = clear:检测到对端失联时立即清除SA,防止“幽灵隧道”占用资源;secrets段中file = gateway.mycompany.com.pem:私钥文件名必须与local.id完全一致,否则认证失败。
踩坑实录:某次配置后隧道能Up但ping不通,抓包发现ICMP包被丢弃。排查发现
local_ts写成了10.10.0.0/24(少写了两个0),而实际内网是10.10.0.0/16。StrongSwan不会报错,但SA建立后只允许/24网段通信。教训:local_ts必须与实际路由表完全一致,建议用ip route show核对。
3.4 CRL与OCSP:让证书吊销真正生效
证书吊销不是“签个名就完事”,必须让客户端能实时查询状态。StrongSwan支持两种机制:
CRL方式(推荐):
在Nginx中托管CRL文件:
location /crl.pem { alias /opt/ca/intermediate/crl.pem; expires 1h; add_header Cache-Control "public, max-age=3600"; }生成CRL命令:
openssl ca -config /opt/ca/intermediate/openssl.cnf -gencrl -out /opt/ca/intermediate/crl.pem -crldays 7-crldays 7表示CRL有效期7天,客户端会缓存此期间内的吊销状态。在swanctl.conf中启用:
global { strict_crl_policy = yes cachecrls = yes }strict_crl_policy = yes表示:若CRL下载失败或过期,拒绝建立连接——这是安全底线。
OCSP方式(高阶):
需部署OCSP响应器(如ocsp-responder),并在证书中嵌入OCSP URL。生成证书时,在[server_cert]段添加:
authorityInfoAccess = OCSP;URI:http://ocsp.mycompany.comOCSP响应器需监听HTTP端口,且响应必须用中间CA证书签名。实测发现,OCSP比CRL延迟更低(毫秒级vs分钟级),但部署复杂度高3倍。中小型企业建议先用CRL,稳定后再升级OCSP。
4. 隧道连通性验证:从握手日志到应用层穿透的全链路诊断
配置完成不等于成功。真正的验证必须覆盖四层:协议层(IKE SA建立)→ 加密层(CHILD SA建立)→ 网络层(ICMP可达)→ 应用层(业务服务访问)。任何一层失败,都要有对应的诊断工具和思路。
4.1 日志分析:读懂StrongSwan的“黑话”
StrongSwan日志分散在/var/log/daemon.log和journalctl -u strongswan中。关键日志模式如下:
IKE SA建立失败:
07[IKE] initiating IKE_SA roadwarrior[1] to 203.0.113.10 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] 07[NET] sending packet: from 203.0.113.5[500] to 203.0.113.10[500] (328 bytes) 07[NET] received packet: from 203.0.113.10[500] to 203.0.113.5[500] (328 bytes) 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] 07[IKE] authentication of 'gateway.mycompany.com' with pre-shared key successful若看到authentication of ... with pre-shared key successful,说明你误启用了PSK认证——证书认证应显示with RSA signature。根源是swanctl.conf中local.auth = pubkey写错位置。
CHILD SA建立失败:
10[IKE] CHILD_SA net{1} established with SPIs c1a2b3c4_i 56789012_o and TS 10.10.0.0/16 === dynamic若此行缺失,检查children.net.local_ts与网关实际路由是否匹配;若出现NO_PROPOSAL_CHOSEN,说明两端esp_proposals不兼容。
证书验证失败:
08[IKE] received cert request for "C=CN, ST=Beijing, O=MyCompany, CN=MyCompany Root CA" 08[IKE] no trusted certificate found for "C=CN, ST=Beijing, O=MyCompany, CN=gateway.mycompany.com"第一行是客户端请求的CA,第二行是网关找不到匹配证书。此时执行:
swanctl --list-certs | grep -A5 "gateway.mycompany.com"确认证书是否加载成功;再用:
openssl x509 -in /etc/swanctl/x509/chain.pem -text -noout | grep "Subject:"确认证书CN与swanctl.conf中local.id完全一致。
4.2 抓包分析:Wireshark里的IPSEC真相
当日志无法定位时,Wireshark是终极武器。过滤条件必须精确:
udp.port == 500 || udp.port == 4500:捕获IKEv1/IKEv2和NAT-T流量;ip.addr == 203.0.113.5 && ip.addr == 203.0.113.10:聚焦两端IP;ikev2.exch_type == 33:过滤IKE_SA_INIT消息。
关键帧分析:
- 第1-2帧(IKE_SA_INIT):检查
Initiator SPI和Responder SPI是否生成,Transforms中ENCR、PRF、D-H是否匹配; - 第5-6帧(IKE_AUTH):检查
Certificate载荷是否存在,Certificate Request中Authority字段是否包含你的根CA DN; - 第7帧(CREATE_CHILD_SA):检查
Traffic Selector中IPv4_ADDR_SUBNET是否与local_ts一致。
我曾用此法发现一个隐蔽问题:客户端发送的Traffic Selector是192.168.43.0/24,但网关remote_ts = dynamic未生效,原因是swanctl.conf中children.net.remote_ts写成了0.0.0.0/0(错误通配符),正确应为dynamic。
4.3 应用层穿透:验证不只是“能Ping”
隧道Up后,必须验证真实业务。常见误区是只测ping 10.10.0.1(网关内网IP),但实际业务可能访问10.10.10.100:8080(内部Web服务)。此时需:
- 在网关执行
tcpdump -i any port 8080 -w web.pcap,确认流量进入隧道; - 在业务服务器执行
ss -tuln | grep :8080,确认服务监听0.0.0.0:8080而非127.0.0.1:8080; - 用
curl -v http://10.10.10.100:8080/api/health,检查HTTP响应头X-Forwarded-For是否为客户端真实IP(验证NAT是否透传)。
若业务不通但ICMP通,90%是防火墙问题。StrongSwan默认不操作iptables,需手动放行:
iptables -A INPUT -p udp --dport 500 -j ACCEPT iptables -A INPUT -p udp --dport 4500 -j ACCEPT iptables -A FORWARD -s 10.10.0.0/16 -d 10.10.0.0/16 -j ACCEPT4.4 生产级检查清单:17个必检断点
最后,这是我整理的IPSEC CA配置上线前检查清单,覆盖从证书生成到业务验证的全路径:
| 序号 | 检查项 | 工具/命令 | 合格标准 | 失败后果 |
|---|---|---|---|---|
| 1 | 根CA私钥权限 | ls -l /opt/ca/root/private/ca.key.pem | 权限为-r-------- | OpenSSL拒绝加载 |
| 2 | 根CA证书有效期 | openssl x509 -in ca.cert.pem -dates | notAfter≥10年 | 信任链短期失效 |
| 3 | 中间CA的pathlen | openssl x509 -in intermediate.cert.pem -text -noout | grep pathlen | 显示pathlen:0 | 可能签发非法下级CA |
| 4 | 网关证书SAN | openssl x509 -in gateway.cert.pem -text -noout | grep -A1 "Subject Alternative Name" | 包含所有连接方式(DNS/IP) | iOS/Android拒绝连接 |
| 5 | 证书链完整性 | openssl verify -CAfile ca.cert.pem chain.pem | 返回OK | StrongSwan加载失败 |
| 6 | 私钥文件名匹配 | ls /etc/swanctl/rsa/ | 文件名=gateway.mycompany.com.pem | 认证时提示no private key found |
| 7 | swanctl.conf语法 | swanctl --load-all --debug | 无ERROR输出 | 配置不生效 |
| 8 | IKE端口开放 | nc -zv 203.0.113.5 500 | succeeded! | 客户端无法发起握手 |
| 9 | CRL文件可访问 | curl -I http://ca.mycompany.com/crl.pem | HTTP 200 +Content-Type: application/pkix-crl | 吊销证书仍被接受 |
| 10 | MTU设置 | ip link show eth0 | grep mtu | ≥1400(避免分片) | 大文件传输超时 |
| 11 | 内核IP转发 | sysctl net.ipv4.ip_forward | 值为1 | 流量无法路由 |
| 12 | iptables规则 | iptables -L FORWARD -n | 包含ACCEPT相关规则 | 数据包被DROP |
| 13 | 隧道状态 | swanctl --list-sas | 显示ESTABLISHED且child-sas有计数 | 无加密通道 |
| 14 | 内网路由 | ip route show table 220 | 包含10.10.0.0/16 via ... | 客户端无法访问内网 |
| 15 | DNS解析 | dig gateway.mycompany.com \@8.8.8.8 | 返回正确A记录 | 客户端连接失败 |
| 16 | 证书吊销测试 | openssl ca -config ... -revoke gateway.cert.pem→swanctl --load-certs | swanctl --list-certs显示revoked | 吊销机制未生效 |
| 17 | 业务端口连通 | telnet 10.10.10.100 8080 | Connected | 业务不可用 |
这份清单我在三个不同客户现场迭代了11次,每次新增的条目都来自一次真实故障。比如第16项“证书吊销测试”,就是某次勒索病毒事件后补上的——当时需紧急吊销所有员工证书,但发现swanctl --load-certs并未重载吊销状态,必须重启strongswan服务。后来发现是cachecrls = yes导致CRL缓存未刷新,改为cachecrls = no并配合systemctl reload strongswan才解决。
5. 最后分享一个血泪技巧:用Ansible自动化证书轮换
证书有效期是运维噩梦。手动轮换10台网关的证书,平均耗时47分钟/台,且极易出错。我用Ansible实现了全自动轮换,核心逻辑是:
- 证书生成阶段:用
community.crypto.openssl_privatekey和community.crypto.openssl_csr模块生成新私钥和CSR; - 签发阶段:用
community.crypto.openssl_certificate调用本地CA签发; - 部署阶段:用
copy模块推送证书,service模块重载StrongSwan。
Playbook关键片段:
- name: Generate new gateway private key community.crypto.openssl_privatekey: path: "/tmp/{{ inventory_hostname }}_key.pem" size: 3072 cipher: aes256 - name: Generate CSR with SAN community.crypto.openssl_csr: path: "/tmp/{{ inventory_hostname }}_csr.pem" privatekey_path: "/tmp/{{ inventory_hostname }}_key.pem" common_name: "{{ inventory_hostname }}" subject_alt_name: - "DNS:{{ inventory_hostname }}" - "IP:{{ ansible_facts['default_ipv4']['address'] }}" - name: Sign CSR with intermediate CA community.crypto.openssl_certificate: path: "/tmp/{{ inventory_hostname }}_cert.pem" csr_path: "/tmp/{{ inventory_hostname }}_csr.pem" ownca_path: "/opt/ca/intermediate/certs/intermediate.cert.pem" ownca_privatekey_path: "/opt/ca/intermediate/private/intermediate.key.pem" provider: ownca - name: Deploy to gateway copy: src: "/tmp/{{ inventory_hostname }}_cert.pem" dest: "/etc/swanctl/x509/{{ inventory_hostname }}.pem" notify: reload strongswan这个流程将单台网关轮换压缩到92秒,且100%幂等——即使重复执行,也不会破坏现有隧道。更重要的是,它把“证书轮换”从一个高风险人工操作,变成了一个可审计、可回滚、可监控的标准化流程。当你把第17项检查清单也写成Ansible的assert模块时,整个IPSEC基础设施就真正进入了工程化运维阶段。
我在实际操作中发现,最大的成本不是技术本身,而是认知偏差:总以为“配证书”是网络层的事,却忽略了它本质是密码学+系统管理+流程治理的交叉领域。每一次隧道中断,表面是NO_PROPOSAL_CHOSEN,底层可能是根CA私钥权限错误、中间CA pathlen配置失误、或CRL缓存策略缺陷。所以,别再问“怎么配”,先问“凭什么能信”——这才是IPSEC CA配置的起点与终点。
