基于安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 的虚拟专用网络 (VPN) 使用基于证书的身份验证方法。若要支持基于 SSTP 或 IKEv2 的 VPN,必须在 VPN 服务器上安装正确配置的证书。
在 RRAS 服务器上配置的计算机证书必须具有“服务器身份验证”或“所有用途”增强型密钥使用 (EKU) 属性。建立会话时,VPN 客户端使用此计算机证书对 RRAS 服务器进行身份验证。
在何处安装证书
在 RRAS 服务器上:
- 将颁发服务器身份验证证书的证书颁发机构 (CA) 的根 CA 证书安装在“本地计算机\受信任的根证书颁发机构”存储中。
- 将 CA 颁发的服务器身份验证证书安装在“本地计算机\个人”存储中。
在远程 VPN 客户端上:
- 将颁发服务器身份验证证书的 CA 的根 CA 证书安装在“本地计算机\受信任的根证书颁发机构”存储中。客户端需要此操作以信任服务器提供的服务器身份验证证书。
- 如果客户端需要通过 IKEv2 VPN 连接到服务器,则必须将 CA 颁发的客户端身份验证证书安装在“本地计算机\个人”存储中。
重要 | |
|
其他参考
Active Directory 证书服务 (https://go.microsoft.com/fwlink/?linkid=136444)(可能为英文网页)- 配置 RRAS