基于安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 的虚拟专用网络 (VPN) 使用基于证书的身份验证方法。若要支持基于 SSTP 或 IKEv2 的 VPN,必须在 VPN 服务器上安装正确配置的证书。

在 RRAS 服务器上配置的计算机证书必须具有“服务器身份验证”“所有用途”增强型密钥使用 (EKU) 属性。建立会话时,VPN 客户端使用此计算机证书对 RRAS 服务器进行身份验证。

在何处安装证书

在 RRAS 服务器上:

  • 将颁发服务器身份验证证书的证书颁发机构 (CA) 的根 CA 证书安装在“本地计算机\受信任的根证书颁发机构”存储中。

  • 将 CA 颁发的服务器身份验证证书安装在“本地计算机\个人”存储中。

在远程 VPN 客户端上:

  • 将颁发服务器身份验证证书的 CA 的根 CA 证书安装在“本地计算机\受信任的根证书颁发机构”存储中。客户端需要此操作以信任服务器提供的服务器身份验证证书。

  • 如果客户端需要通过 IKEv2 VPN 连接到服务器,则必须将 CA 颁发的客户端身份验证证书安装在“本地计算机\个人”存储中。

重要
  • 对于 SSTP VPN 连接,默认情况下,客户端必须通过检查在证书中标识为托管证书吊销列表 (CRL) 的服务器,才能够确认证书尚未吊销。如果无法联系托管 CRL 的服务器,则验证会失败,并且断开 VPN 连接。为避免这种情况,必须在 Internet 上可访问的服务器上发布 CRL,或者将客户端配置为不要求 CRL 检查。若要禁用 CRL 检查,请在以下位置创建注册表设置:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • 该设置必须是名为 NoCertRevocationCheck 的 DWORD 值。将值设置为 1

其他参考

目录