openssl ecparam -genkey -name secp384r1 -out xxxkey.pem openssl req –new –key xxxkey.pem -out xxxreq.pem Nama xxx diganti dengan nama host komputer dimana sertifikat itu diperuntukkan. Misalnya, untuk pembuatan key dan certificate request untuk host A, maka xxxkey.pem diganti menjadi akey.pem dan xxxreq.pem diganti menjadi areq.pem. Begitu pula pembuatan untuk host lainnya B, Z, GW1, GW2, GW3 sehingga didapatkan file private key akey.pem, bkey.pem, zkey.pem, gw1key.pem, gw2key.pem, gw3key.pem, dan file certificate request areq.pem, breq.pem, zreq.pem, gw1req.pem, gw2req.pem, gw3req.pem, Format isian certificate request pada dasarnya sama seperti membuat CA, tetapi kali ini data isian disesuaikan untuk host IPsec. Kemudian request sertifikat yang telah dibuat harus disign oleh sertifikat CA yang sebelumnya telah dibuat. openssl x509 –req –in xxxreq.pem –CA cacert.pem -CAkey cakey.pem -days 365 –extfile openssl.cnf –extension usr_cert -CAcreateserial -out xxxcert.pem Ganti xxx dengan nama host komputer dimana sertifikat itu diperuntukkan. Misalnya, untuk penandatanganan certificate request untuk host A, maka xxxreq.pem diganti menjadi areq.pem. xxxcert.pem diganti menjadi acert.pem dan Begitu pula penandatanganan untuk host lainnya B, Z, GW1, GW2, GW3 sehingga didapatkan file sertifikat publik x.509 acert.pem, bcert.pem, zcert.pem, gw1cert.pem, gw2cert.pem, gw3cert.pem.

4.3.2.4 Instalasi Certificate

Untuk skema pendistribusian file sertifikat X.509 dapat dilihat pada lampiran 1 Skema Jaringan Komputer dan Sertifikat X.509. Pada setiap komputer atau host IPsec yang terlibat dalam pembuatan tunnel IPsec, tempatkan file sertifikat dan private key di direktori etcipsec.d dengan aturan sebagai berikut. 78 • Direktori etcipsec.dprivate sebagai tempat untuk private key host IPsec yang sesuai. Contohnya hanya host A yang memiliki akey.pem dan host B memiliki bkey.pem, dan seterusnya. • Direktori etcipsec.dcerts sebagai tempat untuk end entity atau public certificate. Berisi seluruh file end entity certificate X.509 yaitu acert.pem, bcert.pem, zcert.pem, gw1cert.pem, gw2cert.pem, gw3cert.pem. • Direktori etcipsec.d cacerts sebagai tempat untuk CA certificate yang mengeluarkan dan men-sign end entity certificate. Berisi file cacert.pem.

4.3.2.5 Instalasi Perangkat Lunak IKEv2 strongSwan

StrongSwan merupakan solusi perangkat lunak IPsec open source untuk lingkungan sistem operasi berbasis kernel Linux. Aplikasi Strongswan yang dipakai dalam skripsi ini adalah versi 4.4.0 yang menggunakan daemon charon sebagai penyedia fungsi IKEv2. Strongswan bersifat open source berlisensi GPLv2 GNU GENERAL PUBLIC LICENSE dan dapat didownload gratis di situs resminya http:www.strongswan.org . Untuk menginstal Strongswan dari sourceformat tar.gz, pertama-tama paket yang berbentuk archive terkompresi harus diekstrak ke suatu direktori tertentu seperti home. mv strongswan-4.4.0.tar.gz home cd home tar –xzvf strongswan-4.4.0.tar.gz Kemudian lakukan kompilasi pada paket yang telah diekstrak. cd homestrongswan-4.4.0 .configure make make install 79 StrongSwan akan diinstall pada default direktori usrlocal. Lakukan pengecekan apakah strongSwan telah terinstal dengan benar atau tidak dengan perintah berikut. Dan jika tidak ada error yang muncul maka strongSwan sudah bisa digunakan. ipsec version Konfigurasi terhadap strongSwan terutama dilakukan melalui file etcipsec.conf, file secret key etcipsec.secrets. File ipsec.conf digunakan sebagai konfigurasi koneksi tunnel VPN IPsec Security Association Database dan konfigurasi policy pengamanan traffic Security Policy Database. File ipsec.secrets berisi data rahasia data credential private key yang nantinya digunakan dalam proses autentikasi peer IPsec. Proses autentikasi yang digunakan adalah sertifikat x.509 berbasis signature ECDSA.

4.3.3 Pengujian Sistem