As redes privadas virtuais (VPNs) baseadas nos protocolos SSTP (Secure Socket Tunneling Protocol) e IKEv2 (Internet Key Exchange versão 2) utilizam métodos de autenticação baseados em certificados. Para suportar VPNs baseadas em SSTP ou IKEv2, terá de instalar um certificado correctamente configurado no servidor VPN.
O certificado de computador que configurar no servidor RRAS terá de possuir a propriedade Autenticação de Servidor ou utilização de chave avançada (EKU) Para Todos os Objectivos. Este certificado de computador é utilizado pelo cliente VPN para autenticar o servidor RRAS quando a sessão é estabelecida.
Onde instalar os certificados
No servidor RRAS:
- Instale o certificado de AC de raiz da autoridade de certificação (AC) que emitiu o certificado de autenticação do servidor no arquivo Computador Local\Autoridades de Certificação de Raiz Fidedigna.
- Instale o certificado de autenticação de servidor emitido pela AC no arquivo Computador Local\Pessoal.
No cliente VPN remoto:
- Instale o certificado de AC de raiz da AC que emitiu o certificado de autenticação do servidor no arquivo Computador Local\Autoridades de Certificação de Raiz Fidedigna. É necessário para que o cliente considere fidedigno o certificado de autenticação apresentado pelo servidor.
- Se o cliente tiver de utilizar ligações VPN IKEv2 ao servidor, o certificado de autenticação de cliente emitido pela AC terá de estar instalado no arquivo Computador Local\Pessoal.
Importante | |
|
Referências adicionais
Serviços de Certificados do Active Directory (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=136444)- Configurar RRAS