В виртуальных частных сетях (VPN) на базе протоколов SSTP и IKEv2 используются методы проверки подлинности на основе сертификатов. Чтобы обеспечить поддержку виртуальных частных сетей на базе протоколов SSTP или IKEv2, необходимо установить правильно настроенный сертификат на VPN-сервере.

Сертификат компьютера, настроенный на сервере RRAS, должен иметь свойство улучшенного ключа (EKU) Проверка подлинности сервера или Универсальный. Этот сертификат компьютера используется VPN-клиентом для проверки подлинности сервера RRAS в процессе установления сеанса.

Расположение для установки сертификатов

На сервере RRAS:

  • Установите сертификат корневого центра сертификации (ЦС) для ЦС, выдавшего сертификат проверки подлинности сервера, в хранилище «Локальный компьютер\Доверенные корневые центры сертификации».

  • Установите сертификат проверки подлинности сервера, выданный ЦС, в хранилище «Локальный компьютер\Личные».

На удаленном VPN-клиенте:

  • Установите сертификат корневого ЦС для ЦС, выдавшего сертификат проверки подлинности сервера, в хранилище «Локальный компьютер\Доверенные корневые центры сертификации». Это необходимо, чтобы клиент доверял сертификату проверки подлинности сервера, предоставляемому сервером.

  • Если клиенту требуется использовать VPN-подключения к серверу по протоколу IKEv2, необходимо установить сертификат проверки подлинности клиента, выданный ЦС, в хранилище «Локальный компьютер\Личные».

Важно!
  • По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван. Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL). Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой, а VPN-подключение отбрасывается. Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере, доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов, удалите параметр реестра в следующем расположении:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • Этот параметр имеет значение типа DWORD с именем NoCertRevocationCheck. Присвойте параметру значение 1.

Дополнительные источники информации


Содержание