Azure P2S VPN 連接 ECP 證書身份驗證問題：錯誤 (13801) IKE 身份驗證憑據不可接受

我正在 Azure VPN 網關上設置 P2S 配置。我正在嘗試使用機器證書身份驗證和 IKEv2。我正在使用內置的 Windows 10 (1909) 客戶端和使用 powershell 自行生成的證書。

我可以使用 DH Group 2 進行連接，但是一旦我將 DH Group 切換到 ECP256，我的連接就會失敗。我收到錯誤“錯誤 (13801) IKE 身份驗證憑據不可接受。”

初步分析表明證書需要是 ECP 類型，因此我生成的證書如下：

New-SelfSignedCertificate -Type Custom `
 -Subject "***" `
 -CertStoreLocation "Cert:\LocalMachine\My" `
 -Signer $cert `
 -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") `
 -KeyExportPolicy Exportable `
 -KeyAlgorithm ECDSA_nistP256 `
 -CurveExport CurveName `
 -HashAlgorithm sha256

任何人都可以提出一個可能的解決方案嗎？

事實證明，在撰寫本文時，機器證書身份驗證不支持 ECP256 P2S 連接。

我已經得到微軟的證實。

嘗試將 設置Enhanced Key Usage為Server Authentication。請參閱New-SelfSignedCertificate 的參數-TextExtension。把它做好可能有點棘手。

使用OpenSSL也可能是一種選擇。

引用自：https://serverfault.com/questions/1032907