Secure Socket トンネリング プロトコル (SSTP) およびインターネット キー交換バージョン 2 (IKEv2) ベースの仮想プライベート ネットワーク (VPN) では、証明書ベースの認証方法を使用します。SSTP または IKEv2 ベースの VPN をサポートするには、適切に構成された証明書を VPN サーバーにインストールする必要があります。

RRAS サーバーで構成するコンピューター証明書では、拡張キー使用法 (EKU) プロパティで [サーバー認証] または [すべての目的] が指定されている必要があります。セッションが確立されると、このコンピューター証明書は VPN クライアントによって RRAS サーバーの認証に使用されます。

証明書をインストールする場所

RRAS サーバー:

  • サーバー認証証明書を発行した証明機関 (CA) のルート CA 証明書をローカル コンピューターの信頼されたルート証明機関ストアにインストールします。

  • CA が発行したサーバー認証証明書をローカル コンピューターの個人用ストアにインストールします。

リモート VPN クライアント:

  • サーバー認証証明書を発行した CA のルート CA 証明書をローカル コンピューターの信頼されたルート証明機関ストアにインストールします。これは、クライアントがサーバーによって提示されたサーバー認証証明書を信頼するために必要なことです。

  • クライアントがサーバーに対して IKEv2 ベースの VPN 接続を使用する必要がある場合は、CA が発行したクライアント認証証明書をローカル コンピューターの個人用ストアにインストールする必要があります。

重要
  • SSTP ベースの VPN 接続の場合は、既定で、クライアントが証明書失効リスト (CRL) をホストするサーバーとして証明書に指定されているサーバーを確認し、証明書が失効していないことを確認できる必要があります。CRL をホストするサーバーにアクセスできない場合、検証は失敗し、VPN 接続は切断されます。これを回避するには、インターネット上でアクセスできるサーバーで CRL を発行するか、CRL の確認を必要としないようにクライアントを構成する必要があります。CRL の確認を無効にするには、次の場所にレジストリ設定を作成します。
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • この設定は、NoCertRevocationCheck という名前の DWORD 値にする必要があります。値は 1 に設定します。

その他の参照情報

目次