Vpn
Azure P2S VPN 連接 ECP 證書身份驗證問題:錯誤 (13801) IKE 身份驗證憑據不可接受
我正在 Azure VPN 網關上設置 P2S 配置。我正在嘗試使用機器證書身份驗證和 IKEv2。我正在使用內置的 Windows 10 (1909) 客戶端和使用 powershell 自行生成的證書。
我可以使用 DH Group 2 進行連接,但是一旦我將 DH Group 切換到 ECP256,我的連接就會失敗。我收到錯誤“錯誤 (13801) IKE 身份驗證憑據不可接受。”
初步分析表明證書需要是 ECP 類型,因此我生成的證書如下:
New-SelfSignedCertificate -Type Custom ` -Subject "***" ` -CertStoreLocation "Cert:\LocalMachine\My" ` -Signer $cert ` -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") ` -KeyExportPolicy Exportable ` -KeyAlgorithm ECDSA_nistP256 ` -CurveExport CurveName ` -HashAlgorithm sha256
任何人都可以提出一個可能的解決方案嗎?
事實證明,在撰寫本文時,機器證書身份驗證不支持 ECP256 P2S 連接。
我已經得到微軟的證實。
嘗試將 設置
Enhanced Key Usage
為Server Authentication
。請參閱New-SelfSignedCertificate 的參數-TextExtension
。把它做好可能有點棘手。使用OpenSSL也可能是一種選擇。