Vpn

如何為必須通過 VPN 連接到 Azure 中的伺服器的 PC 續訂過期證書?

  • December 10, 2021

一年前,我根據https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-certificates-point-to-site#clientexport使用 PowerShell 創建了我的自簽名證書,現在是時候更新它們。我什至無法通過 VPN 進入我設置的 Azure 雲,因為證書今天已過期。我在嘗試啟動 VPN 的任何 Windows 10 客戶端電腦上收到錯誤消息“找不到可用於此可擴展身份驗證協議的證書。(錯誤 798)”。

我相信此時我將不得不重新生成根證書和客戶端的所有證書,但請告知是否有更簡單的方法來解決這個問題。

似乎沒有簡單的方法,只能每次從頭開始。儘管最好在證書過期之前執行此操作 - 如果證書確實對您過期,請再次遵循相同的程序。這是您第一次生成原始自簽名證書時所遵循的步驟的子集(當然,除了現在您沒有重新創建虛擬網路或在 Azure 上重新創建 VPN 網關等。相反,您只需更新在下面的步驟 2 中為其提供公共證書數據)。

是的,在此過程中(下面的步驟 1 和 2),您將創建一個新的根證書,並且必須將公共證書數據粘貼到 Azure 門戶 ( https://portal.azure.com )。您可以在其中保留多個(最多 20 個)此類證書,這樣做的目的是預測證書到期,並在舊證書到期之前為您的 Azure 雲準備下一個有效證書。

除瞭如果證書不小心過期並且您還沒有準備好新的證書來替換它們,您的使用者將暫時遇到停機時間,您基本上不會錯過任何一個節拍,只需遵循以下相同的步驟。

注意:雲上的任何虛擬機都不一定需要安裝證書(除非您在那裡使用它們以及其他需要加密的目的)。只有客戶會。Azure 點到站點網關的證書數據(處理您的 VPN 連接)是所有需要在雲中更新的內容,請按照下面的第 2 步進行。當然,您必須更新客戶的證書(第 3 步)。

  1. 在您管理員的 PC(您選擇用作創建證書的主位置的本地物理電腦或伺服器)上,重新生成所有自簽名證書(根證書和客戶端,就像從頭開始一樣- 所以基本上按照https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-certificates-point-to-site為該步驟指定的連結上的所有步驟進行操作
  2. 按照https://docs.microsoft.com/en-us/azure/vpn-gateway/上標題為“上傳根證書公共證書數據”的步驟,將根密鑰文本粘貼到 Azure 門戶 (portal.azure.com) vpn-gateway-howto-point-to-site-resource-manager-portal#uploadfile。請注意,在保存新粘貼的證書之前,您需要在此處刪除任何過期的證書,否則您在 Azure 門戶上的保存操作將失敗。
  3. 根據https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-how-to-vpn-client-install-azure-cert在所有客戶端 PC 上安裝客戶端證書
  4. 在 Azure 門戶上,根據https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-vpn-client-configuration-azure-cert重新生成 VPN 客戶端配置文件,然後安裝它在每台客戶端 PC 上

完成上述步驟後,您的客戶應該能夠重新建立與您的 Azure 雲的 VPN 連接(並擺脫錯誤 798),並能夠像以前一樣在那裡完成所有工作。

引用自:https://serverfault.com/questions/1005894