Les réseaux privés virtuels (VPN) SSTP (Secure Socket Tunneling Protocol) et IKEv2 (Internet Key Exchange version 2) utilisent des certificats basés sur des méthodes d’authentification. Pour prendre en charge les réseaux privés virtuels basés sur SSTP ou IKEv2, vous devez installer un certificat correctement configuré sur le serveur VPN.

Le certificat d’ordinateur que vous configurez sur le serveur RRAS doit avoir la propriété utilisation de clé améliorée (EKU) Authentification du serveur ou Universelle. Ce certificat d’ordinateur est utilisé par le client VPN pour authentifier le serveur RRAS lors de l’établissement de la session.

Où installer les certificats

Sur le serveur RRAS :

  • Installez le certificat racine d’autorité de certification pour l’autorité de certification qui a émis le certificat d’authentification du serveur dans le magasin Ordinateur local\Autorités de certification racine approuvées.

  • Installez le certificat d’authentification du serveur qui a été émis par l’autorité de certification dans le magasin Ordinateur local\Personnel.

Sur le client VPN distant :

  • Installez le certificat racine d’autorité de certification pour l’autorité de certification qui a émis le certificat d’authentification du serveur dans le magasin Ordinateur local\Autorités de certification racine approuvées. Cela est requis pour permettre au client d’approuver le certificat d’authentification du serveur présenté par le serveur.

  • Si le client n’a pas besoin d’utiliser des connexions VPN IKEv2 au serveur, un certificat d’authentification client qui a été émis par l’autorité de certification doit être installé dans le magasin Ordinateur local\Personnel.

Important
  • Pour les connexions VPN SSTP, par défaut, le client doit pouvoir confirmer que le certificat n’a pas été révoqué en vérifiant le serveur identifié dans le certificat comme hébergeant la liste de révocation de certificats. Si le serveur hébergeant la liste de révocation de certificats ne peut pas être contacté, la validation échoue, et la connexion VPN est abandonnée. Pour éviter cet incident, vous devez publier la liste de révocation de certificats sur un serveur accessible sur Internet ou configurer le client de façon à pouvoir omettre la vérification de la liste de révocation de certificats. Pour désactiver la vérification de la liste de révocation de certificats, créez une valeur de Registre à l’emplacement suivant :
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • La valeur doit être une valeur DWORD nommée NoCertRevocationCheck. Réglez la valeur à 1.

Références supplémentaires


Table des matières