1. 证书部署后的服务重启陷阱
第一次用StrongSwan部署IPSec时,我花了整整两天时间排查一个诡异问题:明明证书配置完全正确,两端却始终无法建立连接。直到偶然重启了strongswan-starter服务,隧道突然就通了——这个教训让我深刻理解了证书加载机制的特殊性。
证书生效的隐藏条件:很多人以为证书文件拷贝到/etc/ipsec.d/目录就会自动加载,实际上StrongSwan只在服务启动时一次性读取证书。我后来翻源码发现,charon守护进程采用内存驻留方式运行,证书变更后必须通过SIGHUP信号触发重新加载。这就是为什么以下操作缺一不可:
# 证书部署标准流程
cp client.cert.pem /etc/ipsec.d/certs/
cp ca.cert.pem /etc/ipsec.d/cacerts/
cp client.key.pem /etc/ipsec.d/private/
systemctl restart strongswan-starter # 关键步骤!
验证证书加载的三种姿势:
- 检查证书指纹是否匹配:
ipsec listcerts | grep -A 10 "subject: CN=192.168.1.100"
- 查看私钥与证书关联性(常见坑点):
openssl x509 -noout -modulus -in client.cert.pem | openssl md5
openssl rsa -noout -modulus -in client.key.pem | openssl md5
- 实时监控日志验证加载过程:
扫一扫
3511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
