Не удается заставить работать мой SSTP VPN из-за проблемы с сертификатом
Я пытаюсь создать SSTP VPN на моем Windows Server 2008 R2, я установил Службу сетевых политик и доступа и службу проверки подлинности сертификатов AD,
Я создаю свой корневой сертификат и сгенерировал сертификат проверки подлинности сервера (названный по полному доменному имени сервера), проверил его и установил на сервере, я также установил сертификат центра сертификации на клиенте, к которому мне нужно подключиться, но когда я попробуйте подключиться, я получаю эту ошибку
Не удалось создать цепочку сертификатов для сертификата CA 0 для xxx.netyxia.net-DC-CA. Цепочка сертификатов обработана, но завершена корневым сертификатом, который не является доверенным поставщиком доверия. 0x800b0109 (-2146762487).
(xxx.netyxia.net - это (измененное) имя хоста), сертификат развернут как на сервере, так и на клиенте. Я искал часы... и ничего:(
Любая идея, пожалуйста?
Спасибо
1 ответ
Похоже, вы установили сертификат не в том хранилище, попробуйте вставить его вручную Trusted Root Certificate Authorities на клиентской машине.
Выполните следующие действия на клиентском компьютере: MMC> Добавить оснастку "Сертификаты" для локального компьютера> Доверенные корневые центры сертификации> Импортируйте сертификат здесь.
Если вы используете самозаверяющий сертификат на Windows Server, вам может понадобиться сертификат, привязанный к самому адресу VPN-хоста, и сертификат от самого сервера, выдавшего этот сертификат. Я только что настроил SSTP VPN в Windows 2012R2 Essentials, и на стороне клиента мне пришлось сделать две вещи:
Установите сертификат VPN (например, my.vpn.hostname.com) И сертификат CA сервера Windows, который его подписал. Оба они должны быть установлены в учетной записи локального компьютера (НЕ в пользовательском разделе) клиента в разделе "Доверенные корневые центры сертификации". Это дает вам цепочку - центр сертификации Windows Server, подписавший этот сертификат, является доверенным, а сертификат VPN - доверенным. Обычно вы можете получить сертификат CA сервера с сервера сертификатов Windows Active Directory, например my.domain / certsvr, или просто экспортировать его.
Поскольку он самоподписан, вы, скорее всего, получите сообщение об ошибке (я сделал...) из-за того, что клиент не может проверить отзыв. Перейдите в RegEdit и добавьте новый DWORD под названием NoCertRevocationCheck key в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters и установите для него значение 1 (т.е. истина, не проверяйте, был ли сертификат отозван)
В идеале вы должны использовать сертификат, выпущенный надлежащим центром сертификации, чтобы избежать каких-либо проблем с доступностью серверов отзыва. Что касается самих сертификатов, в этой статье подробно рассматриваются аспекты безопасности: