Az SSTP- és az IKEv2-protokollon alapuló virtuális magánhálózatok (VPN) tanúsítványalapú hitelesítési módszereket használnak. Az SSTP- vagy IKEv2-alapú virtuális magánhálózatok támogatásához megfelelően konfigurált tanúsítványt kell telepíteni a VPN-kiszolgálóra.

Az RRAS-kiszolgálón hitelesített számítógép-tanúsítványnak rendelkeznie kell a Kiszolgáló-hitelesítés vagy az Általános célú bővített kulcshasználati (EKU) tulajdonsággal. Ezt a számítógép-tanúsítványt a VPN-ügyfél az RRAS-kiszolgáló hitelesítésére használja a munkamenet létrehozásakor.

A tanúsítványok telepítési helye

Az RRAS-kiszolgálón:

  • A kiszolgáló hitelesítési tanúsítványát kibocsátó hitelesítésszolgáltató (CA) legfelső szintű hitelesítésszolgáltatói tanúsítványát a Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók tárolóba telepítse.

  • A hitelesítésszolgáltató által kibocsátott kiszolgálói hitelesítési tanúsítványt a Helyi számítógép\Személyes tárolóba telepítse.

A távoli VPN-ügyfélen:

  • A kiszolgáló hitelesítési tanúsítványát kibocsátó hitelesítésszolgáltató (CA) legfelső szintű hitelesítésszolgáltatói tanúsítványát a Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók tárolóba telepítse. Az ügyfélnek meg kell bíznia a kiszolgáló által bemutatott kiszolgálói hitelesítési tanúsítványban.

  • Ha az ügyfélnek IKEv2 VPN-kapcsolatokat kell használnia a kiszolgálóval, akkor a hitelesítésszolgáltató által kibocsátott ügyfél-hitelesítési tanúsítványt a Helyi számítógép\Személyes tárolóba kell telepíteni.

Fontos!
  • Az SSTP VPN-kapcsolatok esetében az ügyfélnek - alapértelmezés szerint - képesnek kell lennie a tanúsítványban a visszavont tanúsítványok listájának (CRL) tárolójaként meghatározott kiszolgáló ellenőrzése révén annak megerősítésére, hogy a tanúsítványt nem vonták vissza. Ha a visszavont tanúsítványok listáját (CRL) tároló kiszolgálóval nem lehet felvenni a kapcsolatot, a hitelesítés meghiúsul, és a VPN-kapcsolat megszakad. Ennek megelőzése érdekében a visszavont tanúsítványok listáját (CRL) vagy az interneten elérhető kiszolgálón kell közzétenni, vagy úgy kell beállítani az ügyfelet, hogy ne igényelje a CRL ellenőrzését. A CRL-ellenőrzés letiltásához hozzon létre beállításjegyzék-beállítást a következő helyen:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • A beállításnak a NoCertRevocationCheck elnevezésű DWORD típusú értéknek kell lennie. Állítsa az értéket a következőre: 1.

További hivatkozások

Tartalom