Für SSTP- und IKEv2-basierte (Secure Socket Tunneling-Protokoll und Internet Key Exchange version 2, Version 2 des Internetschlüsselaustauschs) virtuelle private Netzwerke (VPNs) werden zertifikatbasierte Authentifizierungsmethoden verwendet. Damit SSTP- oder IKEv2-basierte VPNs unterstützt werden, müssen Sie auf dem VPN-Server ein entsprechend konfiguriertes Zertifikat installieren.

Das Computerzertifikat, das Sie auf dem RRAS-Server konfigurieren, muss über die EKU-Eigenschaft (Enhanced Key Usage, erweiterte Schlüsselverwendung) Serverauthentifizierung oder Alle Zwecke verfügen. Dieses Computerzertifikat wird vom VPN-Client zum Authentifizieren des RRAS-Servers verwendet, wenn die Sitzung hergestellt wurde.

Installationsort für Zertifikate

Führen Sie auf dem RRAS-Server diese Schritte aus:

  • Installieren Sie das Stamm-Zertifizierungsstellenzertifikat für die Zertifizierungsstelle (Certification Authority, CA), von der das Serverauthentifizierungszertifikat im Speicher Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen ausgestellt wurde.

  • Installieren Sie das Serverauthentifizierungszertifikat, das von der Zertifizierungsstelle im Speicher Lokaler Computer\Persönlicher Speicher ausgestellt wurde.

Führen Sie auf dem Remote-VPN-Client diese Schritte aus:

  • Installieren Sie das Stamm-Zertifizierungsstellenzertifikat für die Zertifizierungsstelle, von der das Serverauthentifizierungszertifikat im Speicher Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen ausgestellt wurde. Dies ist erforderlich, damit der Client dem vom Server bereitgestellten Serverauthentifizierungszertifikat vertraut.

  • Wenn für den Client IKEv2-VPN-Verbindungen mit dem Server verwendet werden müssen, muss ein von der Zertifizierungsstelle ausgestelltes Clientauthentifizierungszertifikat im Speicher Lokaler Computer\Persönlicher Speicher installiert werden.

Wichtig
  • Für SSTP-VPN-Verbindungen muss der Client standardmäßig bestätigen können, dass das Zertifikat nicht gesperrt wurde, indem er den Server überprüft, der im Zertifikat als Host für die Zertifikatsperrliste angegeben ist. Wenn keine Verbindung mit dem Server mit der Sperrliste hergestellt werden kann, treten bei der Überprüfung Fehler auf, und die VPN-Verbindung wird getrennt. Damit dies verhindert wird, müssen Sie die Sperrliste auf einem Server veröffentlichen, auf den im Internet zugegriffen werden kann, oder den Client so konfigurieren, dass keine Zertifikatsperrlistenüberprüfung erforderlich ist. Erstellen Sie unter folgendem Pfad eine Registrierungseinstellung, um die Zertifikatsperrlistenüberprüfung zu deaktivieren:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • Bei der Einstellung muss es sich um einen DWORD-Wert mit dem Namen NoCertRevocationCheck handeln. Legen Sie den Wert auf 1 fest.

Weitere Verweise

Inhaltsverzeichnis