SSTP (Secure Socket Tunneling Protocol) e le reti private virtuali (VPN) basate su IKEv2 (Internet Key Exchange versione 2) utilizzano metodi di autenticazione basati su certificato. Per supportare VPN basate su SSTP o IKEv2, è necessario installare nel server VPN un certificato configurato correttamente.

Il certificato computer configurato nel server RRAS deve contenere la proprietà per l'utilizzo chiavi avanzato Autenticazione server o Tutti. Questo certificato computer viene utilizzato dal client VPN per autenticare il server RRAS quando viene stabilita la sessione.

Dove installare i certificati

Nel server RRAS

  • Installare il certificato CA radice dell'autorità di certificazione (CA) che ha emesso il certificato di autenticazione server nell'archivio Computer locale\Autorità di certificazione radice attendibili.

  • Installare il certificato di autenticazione server emesso dalla CA nell'archivio Computer locale\Personale.

Nel client VPN remoto:

  • Installare il certificato CA radice dell'autorità di certificazione (CA) che ha emesso il certificato di autenticazione server nell'archivio Computer locale\Autorità di certificazione radice attendibili. È obbligatorio affinché il client consideri attendibile il certificato di autenticazione server presentato dal server.

  • Se il client dovrà utilizzare connessioni VPN IKEv2 con il server, un certificato di autenticazione client emesso dalla CA dovrà essere installato nell'archivio Computer locale\Personale.

Importante
  • Per le connessioni VPN SSTP, per impostazione predefinita il client deve essere in grado di verificare che il certificato non sia stato revocato controllando che il server identificato nel certificato ospiti l'elenco di revoche di certificati (CRL). Se il server che ospita il CRL non può essere contattato, la convalida non riuscirà e la connessione VPN non verrà stabilita. Per impedire che questo avvenga, è necessario pubblicare il CRL su un server accessibile da Internet oppure configurare il client affinché non richieda la verifica CRL creando un'impostazione nel percorso seguente del Registro di sistema:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • L'impostazione dovrà essere un valore DWORD denominato NoCertRevocationCheck. Impostare il valore su 1.

Ulteriori riferimenti


Argomenti della Guida