Güvenli Yuva Tünel Protokolü (SSTP) ve Internet Anahtar Değişimi sürüm 2 (IKEv2) tabanlı sanal özel ağlar (VPN) sertifika tabanlı kimlik doğrulama yöntemlerini kullanır. SSTP veya IKEv2 tabanlı VPN'leri desteklemek için VPN sunucusuna düzgün yapılandırılmış sertifika yüklemeniz gerekir.

RRAS sunucusunda yapılandırdığınız bilgisayar sertifikasında Sunucu Kimlik Doğrulaması veya Çok Amaçlı gelişmiş anahtar kullanımı (EKU) özelliğinin bulunması gerekir. Bu bilgisayar sertifikası, oturum başlatıldığında RRAS sunucusunun kimlik doğrulaması için VPN istemcisi tarafından kullanılır.

Sertifikalar nereye yüklenmeli

RRAS sunucusuna:

  • Yerel Bilgisayar/Güvenilen Kök Sertifika Yetkilileri deposunda sunucu kimlik doğrulama sertifikasını yayımlayan sertifika yetkilisi (CA) için kök CA sertifikasını yükleyin.

  • Yerel Bilgisayar\Kişisel deposunda CA tarafından yayımlanan sunucu kimlik doğrulama sertifikasını yükleyin.

Uzak VPN istemcisinde:

  • Yerel Bilgisayar/Güvenilen Kök Sertifika Yetkilileri deposunda sunucu kimlik doğrulama sertifikasını yayımlayan CA için kök CA sertifikasını yükleyin. Sunucunun sunduğu sunucu kimlik doğrulama sertifikasına güvenmesi amacıyla istemci için gereklidir.

  • İstemcinin IKEv2 VPN sunucu bağlantılarını kullanması gerekirse CA tarafından yayımlanan istemci kimlik doğrulama sertifikasının Yerel Bilgisayar/Kişisel deposuna yüklenmesi gerekir.

Önemli
  • SSTP VPN bağlantıları için varsayılan olarak istemcinin barındırılan sertifika iptal listesinde (CRL) olduğu gibi sertifikada tanımlanan sunucu denetlenerek sertifikanın iptal edilmediğini onaylayabilmesi gerekir. Sunucunun CRL barındırması bağlantı kuramıyorsa doğrulama başarısız olur ve VPN bağlantısı düşer. Bunu önlemek için Internet'te erişilebilen bir sunucuda CRL yayımlamanız veya CRL denetimi gerekmeyen istemci yapılandırmanız gerekir. CRL denetimini devre dışı bırakmak için aşağıdaki konumda kayıt defteri ayarı oluşturmanız gerekir:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • Ayarın, NoCertRevocationCheck adıyla bir DWORD değeri olması gerekir. Değeri 1 olarak ayarlayın.

Ek başvurular


İçindekiler