以安全通訊端通道通訊協定 (SSTP) 與網際網路金鑰交換版本 2 (IKEv2) 為基礎的虛擬私人網路 (VPN) 使用以憑證為基礎的驗證方法。若要支援以 SSTP 或 IKEv2 為基礎的 VPN,必須在 VPN 伺服器上安裝正確設定的憑證。

您在 RRAS 伺服器上設定的電腦憑證必須具有 [伺服器驗證][所有目的] 增強金鑰使用方法 (EKU) 內容。VPN 用戶端使用此電腦憑證在建立工作階段時驗證 RRAS 伺服器。

在何處安裝憑證

RRAS 伺服器:

  • 針對將伺服器驗證憑證發出至存放區 Local Computer\Trusted Root Certification Authorities 的憑證授權單位 (CA) 安裝根 CA 憑證。

  • 安裝 CA 發出至存放區 Local Computer\Personal 的伺服器驗證憑證。

遠端 VPN 用戶端:

  • 針對將伺服器驗證憑證發出至存放區 Local Computer\Trusted Root Certification Authorities 的 CA 安裝根 CA 憑證。若要讓用戶端信任伺服器所提交的伺服器驗證憑證,這是必要的。

  • 如果用戶端需要使用連線到伺服器的 IKEv2 VPN 連線,則必須在存放區 Local Computer\Personal 安裝 CA 所發出的用戶端驗證憑證。

重要
  • 對於 SSTP VPN 連線,用戶端預設必須可以檢查憑證中識別為主控憑證撤銷清單 (CRL) 的伺服器,以確認憑證尚未被撤銷。如果無法聯絡主控 CRL 的伺服器,驗證就會失敗,因此中斷 VPN 連線。若要避免此狀況,必須在可由網際網路存取的伺服器上發佈 CRL,或設定用戶端不需要檢查 CRL。若要停用 CRL 檢查,請在下列位置建立登錄設定:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • 此設定必須是稱為 NoCertRevocationCheck 的 DWORD 值。將此值設定為 1

其他參考資料


目錄