Las redes privadas virtuales (VPN) basadas en el Protocolo de túnel de sockets seguros (SSTP) e Intercambio de claves por red versión 2 (IKEv2) usan métodos de autenticación basados en certificados. Para admitir las VPN basadas en SSTP o IKEv2, debe instalar un certificado con la configuración correcta en el servidor VPN.
El certificado de equipo que configure en el servidor RRAS debe tener la propiedad de uso mejorado de clave (EKU) Autenticación del servidor o Todos los propósitos. El cliente VPN usa este certificado de equipo para autenticar el servidor RRAS cuando se establece la sesión.
Ubicación de instalación de los certificados
En el servidor RRAS:
- Instale el certificado de CA raíz para la entidad de certificación (CA) que emitió el certificado de autenticación del servidor en el almacén Equipo local\Entidades de certificación raíz de confianza.
- Instale el certificado de autenticación del servidor que emitió la CA en el almacén Equipo local\Personal.
En el cliente VPN remoto:
- Instale el certificado de CA raíz para la CA que emitió el certificado de autenticación del servidor en el almacén Equipo local\Entidades de certificación raíz de confianza. Esto es necesario para que el cliente confíe en el certificado de autenticación del servidor presentado por el servidor.
- Si el cliente va a tener que usar conexiones VPN IKEv2 con el servidor, debe haber instalado en el almacén Equipo local\Personal un certificado de autenticación de cliente emitido por la CA.
Importante | |
|
Referencias adicionales
Servicios de certificados de Active Directory (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=136444)- Configuración de RRAS