Estoy intentando crear una conexión VPN IPSec con autenticación de certificado x.509 para los usuarios.

Lo que sigue es una prueba para que todo funcione y no es una implementación segura. Recibiré un certificado de una fuente confiable cuando esto funcione; mientras tanto, estoy usando un certificado autofirmado.

Estoy en Windows 10 20H2

1- Creo un certificado raíz con XCA.

2- Creo una solicitud de firma de certificado para, digamos, mi primer usuario de VPN.

3- Firmo la solicitud con XCA

4- Exporto la solicitud de XCA en formato PEM

5- Instalo OpenSSL y configuro la variable de entorno OPENSSL_CONF en openssl.cfg en la carpeta de instalación. solíahttps://slproweb.com/products/Win32OpenSSL.html(64 bits) para openSSL en W10

6- Comienza la diversión.

Según tengo entendido, tengo que agregar el certificado en la máquina con Windows a través de mmc en la línea de comando usando el certificado complementario. Además del asistente. No acepta el formato pem, quiere un crt.

Luego me refiero a OpenSSL para la conversión de formatos.

Cuando escribo x509 -in CERT.pem -out CERTII.crt

Obtuve el siguiente error:

Can't open CERT.pem for reading, No such file or directory
15732:error:02001002:system library:fopen:No such file or directory:crypto\bio\bss_file.c:69:fopen('CERT.pem','r')
15732:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:76:
unable to load certificate
error in x509

He buscado bastante y no puedo encontrar el significado exacto de este error y estoy contemplando arrancarme los pelos uno por uno como una alternativa viable.

EDITAR 2020-12-11 1600

cambiar el nombre a .crt y agregar certificados locales me dio un error:

file type is not recognizable. Select another file.

Además, incluso cuando especifico la ruta completa en el cli de openssl con privilegios de administrador, aparece un error.

Si, por ejemplo, copio el certificado en la carpeta OpenSSL e intento ejecutar el comando "openssl x509 -in CERT.pem -out CERT.crt", aparece el siguiente error:

"unable to load certificate
15252:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
error in x509"

EDITAR 2020-12-10 1610 - Fragmento del certificado

-----BEGIN CERTIFICATE REQUEST-----
MIIDGjCCAgICAQAwgaExCzAJBgNVBAYTAkNBMQ8wDQYDVQQIEwZRVUVCRUMxEjAQ
....
hfz1ew0RTMxZv2hMlN/wn5Y0EZKpRr5jMrgZprG7
-----END CERTIFICATE REQUEST-----

Supongo que no debería figurar como una solicitud sino como un certificado firmado.

EDITAR 2020-12-10 1626 EST

Sin nombre resolvió mi problema. un gran saludo para ellos.

en XCA, no queda claro de inmediato, cuando firma una solicitud, que debe exportarse desde una pestaña diferente, certificados.

Debajo del certificado raíz utilizado para firmar el certificado de usuario, hay un menú desplegable con el certificado de usuario FIRMADO. Pude exportarlo y agregarlo a mmc sin problemas después de crear una vista personalizada para los certificados.

Continúe configurando la VPN desde aquí.