SSTP- (Secure Socket Tunneling Protocol) och IKEv2-baserade (Internet Key Exchange version 2) virtuella privata nätverk (VPN) använder certifikatbaserade autentiseringsmetoder. För att få stöd för SSTP- eller IKEv2-baserade VPN måste du installera en certifikat som är korrekt konfigurerat på VPN-servern.

Datorcertifikatet som du konfigurerar på RRAS-servern måste ha antingen egenskapen Autentisera server eller Alla EKU (Enhanced Key Usage). Det här datorcertifikatet används av VPN-klienten för att autentisera RRAS-servern när sessionen har upprättats.

Här kan du installera certifikat

På RRAS-servern:

  • Installera rot-CA-certifikatet för certifikatutfärdaren (CA) som utfärdat serverautentiseringscertifikatet i arkivet Lokal dator\Betrodda certifikatutfärdare.

  • Installera serverautentiseringscertifikatet som utfärdats av certifikatutfärdaren i arkivet Lokal dator\Personligt.

På fjärr-VPN-klienten:

  • Installera rot-CA-certifikatet för certifikatutfärdaren (CA) som utfärdat serverautentiseringscertifikatet i arkivet Lokal dator\Betrodda certifikatutfärdare. Det krävs för att klienten ska lita på serverautentiseringscertifikatet som presenteras av servern.

  • Om klienten behöver använda IKEv2 VPN-anslutningar till servern måste ett klientautentiseringscertifikat som utfärdats av certifikatutfärdaren installeras i arkivet Lokal dator\Personligt.

Viktigt!
  • För SSTP VPN-anslutningar måste klienten som standard kunna bekräfta att certifikatet inte har återkallats genom att kontrollera servern som identifieras i certifikatet som värd för listan över återkallade certifikat (CRL). Om servern som är värd för CRL inte kan kontaktas misslyckas verifieringen och VPN-anslutningen ignoreras. För att förhindra detta måste du antingen publicera CRL på en server som kan nås på Internet eller konfigurera klienten så att den inte kräver CRL-kontroll. Om du vill inaktivera CRL-kontroll skapar du en registerinställning här:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • Inställningen måste vara ett DWORD-värde med namnet NoCertRevocationCheck. Ange värdet till 1.

Ytterligare referenser


Innehåll