Vpn
需要智能卡才能連接到 Windows 2012 遠端訪問伺服器
我們有一個 Windows 2012 伺服器通過 SSTP 接受 VPN 連接,並使用同一伺服器上的網路策略伺服器功能對其進行身份驗證。對於客戶端身份驗證,我們已將其設置為需要證書,這執行良好。太好了,其實。問題是如果伺服器信任鏈中的根 ca,它會接受任何客戶端證書。這意味著它不僅接受智能卡證書(由我們手動添加到信任庫的 CA 頒發),還接受我們內部 CA 頒發並儲存在客戶端電腦上的“軟”證書。
這種行為是不可取的,因為我們希望每個人在連接到 VPN 伺服器時都使用實際的智能卡。有什麼辦法可以強制嗎?讓 NPS 伺服器只信任特定的 CA?或者檢查證書上的某些特定屬性?
您可以通過配置受信任的根證書頒發機構來控制 NPS 應該信任的CA。只需從商店中刪除所有“軟”CA。
我不知道有任何其他選擇。