Vpn

由於證書問題,我的 SSTP VPN 無法正常工作

  • November 26, 2020

我試圖在我的 Windows Server 2008 R2 上創建一個 SSTP VPN,我安裝了網路策略和訪問服務,以及 AD 證書授權服務,

我創建了我的根證書並生成了一個伺服器身份驗證證書(以伺服器的 FQDN 命名),對其進行了驗證並將其安裝在伺服器上,我還在需要連接的客戶端上安裝了 CA 授權證書,但是當我嘗試連接,我收到此錯誤

無法為 xxx.netyxia.net-DC-CA 的 CA 證書 0 建構證書鏈。已處理的證書鏈,但在信任提供者不信任的根證書中終止。0x800b0109 (-2146762487)。

(xxx.netyxia.net 是(更改的)主機名),證書部署在伺服器和客戶端上..我已經搜尋了幾個小時……什麼都沒有:(

請問有什麼想法嗎?

謝謝

聽起來您將證書安裝在錯誤的商店中,您應該嘗試手動將其放入Trusted Root Certificate Authorities客戶端電腦上。

在客戶端電腦上執行以下步驟:MMC > 為本地電腦添加“證書”管理單元 > 受信任的根證書頒發機構 > 在此處導入證書。

如果您在 Windows 伺服器上使用自簽名證書,您可能需要綁定到 VPN 主機地址本身的證書以及來自已頒發此證書的伺服器本身的證書。我剛剛在 Windows 2012R2 Essentials 上設置了一個 SSTP VPN,在客戶端,我必須做兩件事:

  1. 安裝 VPN 證書(例如 my.vpn.hostname.com)和簽署它的 Windows 伺服器 CA 證書。這兩個都需要安裝在受信任的根證書頒發機構部分的客戶端的本地電腦帳戶(不是使用者部分)中。這為您提供了鏈 - 簽署此證書的 Windows Server CA 是受信任的,而 VPN 證書是受信任的。您通常可以從 Windows Active Directory 證書伺服器(例如 my.domain/certsvr)獲取您的伺服器 CA 證書,或者直接將其導出。
  2. 由於其自簽名,您可能會收到一個錯誤(我確實…)客戶端無法檢查撤銷。轉到 RegEdit 並在 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters 中添加一個名為NoCertRevocationCheck的新 DWORD並將其設置為 1(即 true,不要檢查證書是否已被吊銷)

理想情況下,您將使用由適當的 CA 頒發的證書來避免任何與可用的吊銷伺服器有關的問題。關於證書本身,本文詳細介紹了安全方面:

https://directaccess.richardhicks.com/2018/07/16/always-on-vpn-ssl-certificate-requirements-for-sstp/

引用自:https://serverfault.com/questions/184505