为了连接付费的 IKEv2 服务器，需要导入对方提供的证书，那么，证书目的应该设定为哪些呢？

因为这没必要,人家要是打算干坏事直接在服务器上记录下你的访问数据不更方便.

@yexm0 网络通信数据倒不要紧，敢从他那儿经过就表明我不担心。我担忧的是下载的可执行文件被篡改。

哦，上面的话说得可能有点自相矛盾。我的意思其实就是，网络通信数据被 v.p.n 获得不要紧，要紧的是可执行文件有可能被篡改。

毕竟一个“所有目的”的证书，是可以用于签署文件的。

看来还是继续用 pptp/l2tp 算了，唉。

那就不要用自签证书的 vpn 好了

只留最小的，身份验证等，像代码签名什么的就不要。

自己搭建一个也贵不了多少吧? 有些白菜价服务器,比你付费的都便宜

找那种不是自签证书的，可以不用导入证书。
自己用的 ikev2 都不用自签证书了。

这都收费了，就不能去买证书么😞

@zqqf16 就是嘛，他们的网站就有合法签署的证书， v.p.n 却要让用户导入他们自签署的，怪事。。。

@jun0205
@mfaner
介绍个资费低的呗。。。。

@sunyang 曾经想过自己买 VPS ，结果最便宜的仍超出我的计划。我翻_墙不为别的，仅仅 Google play ，一月 1G 流量足够了，我现在用的这个只要 10 块钱，只要 VIP 流量不用完，每月都有 1G 免费流量，基本可以一直用下去了。。。:D

Google 搜索我靠 hosts 解决，其它网站找 free ssl web proxy 。。。

AWS EC2 免费一年每月 15G ， 速度还杠杠滴

求是 ss.5 块钱每个月,一堆节点随便你挑

那不是服务器证书，而是 CA 证书。
你用的 ikev2 服务器应该是靠证书登录的吧？那么就必须信任这个 CA 证书，否则你的电脑会直接拒绝证书认证。

CA 证书虽然也能申请，但会麻烦很多。

@jun0205
那是用来证书登陆的 CA 证书，除了 startcom 还能从哪里搞？

@zqqf16
显然不是域名证书，应该是 CA 证书，不是很便宜。

@Quaintjade 如果服务器端的证书是授信的 CA 签发的，就不用再让用户安装 CA 了。
服务商完全可以去买个证书作为未批嗯服务器的证书

@zqqf16
不是的。
你说的是 server cert ，只用于验证域名是否正确。
我说的是 ca cert 和由该 ca cert 签发的 client cert ，用于证书登录，与 server cert 无关。服务商必须拥有这个 ca cert ，而不仅仅是由受信任 CA 签发一张服务器证书。

@Quaintjade 好吧，我以为装的是签发服务端证书的 CA 证书。
不过话说回来，完全可以用 PSK 认证啊，证书多麻烦……

@jun0205
刚试了下 wosign 签发的证书，好像不行。
客户端是 win10 ，用自签证书没问题（客户端装自签 CA 证书）。

你用的是谁家签的证书？中间证书顺序怎样排？
我记得自签服务器证书要有--flag serverAuth --flag ikeIntermediate ，不知和这个有没有关系。

@Quaintjade 不好意思，我是用域名，用户名和密码登录的。用证书登录的我也没弄过。

@jun0205
我说的就是用户名密码登录（ rightauth=psk 或 eap-mschapv2 ）。
服务器域名是怎么认证的呢（ leftauth=pubkey ）？

@Quaintjade
去服务器里面拿下来的配置，“ youdomain ”需要修改你对应的。
CA 证书，域名证书和 key 放在 /etc/ipsec.d/ 对应的目录下面
配置里面只配置了域名证书。

要说明的是 leftid=@*.youdomain.com 改成你证书里面签的域名
rightid=*@youdomain.com 这个无所谓填什么，主要是在 iOS 生成描述文件会用到。

config setup
uniqueids=never
#charondebug="cfg 2, dmn 2, ike 2, net 2"
#if uniqueids is yes, ipsec will only allow
#one connection per user, which will cause
#connect failed on iOS

conn %default
keyexchange=ikev2
fragmentation=yes
dpdaction=clear
dpddelay=5s
#auto destroy unused connections
rekey=no
left=%any
leftsubnet=0.0.0.0/0
leftcert=youdomain-cert.pem
#server cert that will send to client
leftsendcert=always
#always send server cert
#not set may cause cert failed
right=%any
rightdns=8.8.8.8,8.8.4.4
#DNS send to client
rightsourceip=10.11.0.0/24
#DHCP Pool for client

conn IPSec-IKEv2
keyexchange=ikev2
leftid=@*.youdomain.com
#your servr name in cert
rightid=*@youdomain.com
#define a suffix for user account
rightauth=eap-mschapv2
#define auth type to EAP
rightsendcert=never
#do not need client cert
eap_identity=%any
#any user can login successfully
auto=add

conn IPSec-IKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn CiscoIPSec
keyexchange=ikev1
leftsendcert=never
#do not need server side cert
leftauth=psk
rightauth=psk
#use PSK as client server auth type
rightauth2=xauth
#use xauth as user login auth type
auto=add

@jun0205
试了还是不行。
应该是中间证书的问题，因为如果把中间证书加入 windows 客户端的受信中间证书里，就能连上。

我觉得配置里面应该有个地方告诉 strongswan 应该发送哪张根证书 /中间证书。

@jun0205
你能看一下你 windows 证书(本地计算机)里面，中间证书机构目录或者受信任根证书目录里，有没有中间证书？
我觉得如果服务器证书的直接上级证书不在 Windows 客户端证书列表里，那么应该会 13801 错误的。

@Quaintjade
计算机里面没有导入过证书。

证书文件放在
/etc/ipsec.d/cacerts/ 域名 CA
/etc/ipsec.d/certs/ 域名 cert ，域名证书文件下面有加入 CA 证书
/etc/ipsec.d/private/ 域名 key

我目前设置的就是这样

@jun0205 那就奇怪了，我这明显是中间证书未被信任的问题。