Configurare RRAS con un certificato di autenticazione client

Nel server RRAS

• Installare il certificato CA radice dell'autorità di certificazione (CA) che ha emesso il certificato di autenticazione server nell'archivio Computer locale\Autorità di certificazione radice attendibili.
  
  
• Installare il certificato di autenticazione server emesso dalla CA nell'archivio Computer locale\Personale.
  
  

Nel client VPN remoto:

• Installare il certificato CA radice dell'autorità di certificazione (CA) che ha emesso il certificato di autenticazione server nell'archivio Computer locale\Autorità di certificazione radice attendibili. È obbligatorio affinché il client consideri attendibile il certificato di autenticazione server presentato dal server.
  
  
• Se il client dovrà utilizzare connessioni VPN IKEv2 con il server, un certificato di autenticazione client emesso dalla CA dovrà essere installato nell'archivio Computer locale\Personale.
  
  

Importante

Per le connessioni VPN SSTP, per impostazione predefinita il client deve essere in grado di verificare che il certificato non sia stato revocato controllando che il server identificato nel certificato ospiti l'elenco di revoche di certificati (CRL). Se il server che ospita il CRL non può essere contattato, la convalida non riuscirà e la connessione VPN non verrà stabilita. Per impedire che questo avvenga, è necessario pubblicare il CRL su un server accessibile da Internet oppure configurare il client affinché non richieda la verifica CRL creando un'impostazione nel percorso seguente del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters L'impostazione dovrà essere un valore DWORD denominato NoCertRevocationCheck. Impostare il valore su 1.

• Pagina relativa a Servizi certificati Active Directory (https://go.microsoft.com/fwlink/?linkid=136444)
  
  
• Configurare RRAS