Configurar RRAS com um Certificado de Autenticação de Computador

No servidor RRAS:

• Instale o certificado de AC de raiz da autoridade de certificação (AC) que emitiu o certificado de autenticação do servidor no arquivo Computador Local\Autoridades de Certificação de Raiz Fidedigna.
  
  
• Instale o certificado de autenticação de servidor emitido pela AC no arquivo Computador Local\Pessoal.
  
  

No cliente VPN remoto:

• Instale o certificado de AC de raiz da AC que emitiu o certificado de autenticação do servidor no arquivo Computador Local\Autoridades de Certificação de Raiz Fidedigna. É necessário para que o cliente considere fidedigno o certificado de autenticação apresentado pelo servidor.
  
  
• Se o cliente tiver de utilizar ligações VPN IKEv2 ao servidor, o certificado de autenticação de cliente emitido pela AC terá de estar instalado no arquivo Computador Local\Pessoal.
  
  

Importante

Para ligações VPN SSTP, por predefinição o cliente terá de conseguir confirmar que o certificado não foi revogado, verificando o servidor identificado no certificado como anfitrião da lista de revogação de certificados (CRL). Se não for possível contactar o servidor anfitrião da CRL, a validação falhará e a ligação VPN será interrompida. Para o impedir, terá de publicar a CRL num servidor que se encontre acessível na Internet ou configurar o cliente para não exigir a verificação da CRL. Para desactivar a verificação da CRL, crie uma definição do registo na seguinte localização: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters A definição tem de ser um valor DWORD denominado NoCertRevocationCheck. Defina o valor como 1.

• Serviços de Certificados do Active Directory (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=136444)
  
  
• Configurar RRAS