Configurar RRAS con un certificado de autenticación de equipo

En el servidor RRAS:

• Instale el certificado de CA raíz para la entidad de certificación (CA) que emitió el certificado de autenticación del servidor en el almacén Equipo local\Entidades de certificación raíz de confianza.
  
  
• Instale el certificado de autenticación del servidor que emitió la CA en el almacén Equipo local\Personal.
  
  

En el cliente VPN remoto:

• Instale el certificado de CA raíz para la CA que emitió el certificado de autenticación del servidor en el almacén Equipo local\Entidades de certificación raíz de confianza. Esto es necesario para que el cliente confíe en el certificado de autenticación del servidor presentado por el servidor.
  
  
• Si el cliente va a tener que usar conexiones VPN IKEv2 con el servidor, debe haber instalado en el almacén Equipo local\Personal un certificado de autenticación de cliente emitido por la CA.
  
  

Importante

En las conexiones VPN SSTP, de forma predeterminada, el cliente debe poder confirmar que no se revocó el certificado comprobando el servidor identificado en el certificado como aquel que hospeda la lista de revocación de certificados (CRL). Si no se puede establecer contacto con el servidor que hospeda la CRL, se produce un error en la validación y se pierde la conexión VPN. Para evitarlo, debe publicar la CRL en un servidor accesible en Internet o configurar el cliente para que no requiera la comprobación de CRL. Para deshabilitar la comprobación de CRL, cree una configuración del Registro en esta ubicación: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters La configuración debe ser un valor DWORD llamado NoCertRevocationCheck. Establezca el valor en 1.

• Servicios de certificados de Active Directory (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=136444)
  
  
• Configuración de RRAS