7以下的系統同時搭建L2TP/IPSec支援。

StrongSwan 的發行版已包含在 EPEL 源中, 但是CentOS源的包比較舊所以我們手動在官網下載安裝包，當然你也可以直接原始碼編譯

每一個完整的 ssl 證書都有一個公鑰和一個私鑰。公鑰是在網路上傳輸的而私鑰是藏好用來和接收到的公鑰配對的（因此私鑰裡也有整個公鑰，用來配對）

1. 生成CA證書的私鑰，並使用私鑰簽名CA證書

   這裡C 表示國家名，同樣還有 ST 州/省名L 地區名，STREET（全大寫） 街道名O 表示組織名。CN 為通用名

2. 生成伺服器證書所需的私鑰,並用CA證書籤發伺服器證書

   第二句是從我們剛生成的私鑰裡把公鑰提取出來然後用公鑰去參與後面的伺服器證書籤發。

    
   
    所以這裡C、O的值要跟第一步的一致CN值及--san值是伺服器公網地址或url,另外這裡可以設定多個--san值。否則會出現錯誤 13801:IKE身份驗證憑證不可接受.
    
    

3. 這裡C、O的值要跟苐一步的一致

4. 生成 pkcs12 證書 pkcs12 證書用來匯入手機或電腦的

裝置/作業系統使用的 ike 版本

 

 
 uniqueids=never #允許多個客戶端使用同一個證書,多裝置同時線上#所有專案共鼡的配置項
 

 duplicheck.enable =no#是為了你能同時連線多個裝置，所以要把冗餘檢查關閉
 

 

 CentOS 7 源已經不再有了所以手動下載安裝。
 
 

2.阶段二交换(phase2 exchange): “阶段二”周期里,IKE 实體会在阶段一建立起来的安全信道中,为某种进程协商和 产生需要的密钥材料和安全参数,在VPN实现中,就......