Настройка RRAS с сертификатом проверки подлинности компьютера

На сервере RRAS:

• Установите сертификат корневого центра сертификации (ЦС) для ЦС, выдавшего сертификат проверки подлинности сервера, в хранилище «Локальный компьютер\Доверенные корневые центры сертификации».
  
  
• Установите сертификат проверки подлинности сервера, выданный ЦС, в хранилище «Локальный компьютер\Личные».
  
  

На удаленном VPN-клиенте:

• Установите сертификат корневого ЦС для ЦС, выдавшего сертификат проверки подлинности сервера, в хранилище «Локальный компьютер\Доверенные корневые центры сертификации». Это необходимо, чтобы клиент доверял сертификату проверки подлинности сервера, предоставляемому сервером.
  
  
• Если клиенту требуется использовать VPN-подключения к серверу по протоколу IKEv2, необходимо установить сертификат проверки подлинности клиента, выданный ЦС, в хранилище «Локальный компьютер\Личные».
  
  

Важно!

По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван. Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL). Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой, а VPN-подключение отбрасывается. Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере, доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов, удалите параметр реестра в следующем расположении: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters Этот параметр имеет значение типа DWORD с именем NoCertRevocationCheck. Присвойте параметру значение 1.

• Службы сертификации Active Directory (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=136444)
  
  
• Настройка RRAS