.png)
Ich habe ein ähnliches Problem wie die Frage mit demgleicher Titelvom letzten Oktober.
Auf einem Computer mit Windows Server 2008 muss ich mithilfe der Verbindungssicherheitsregeln der Windows-Firewall eine Verbindung im IPsec-Transportmodus zu einem anderen Server 2008 herstellen und dabei Zertifikate zur Authentifizierung verwenden.
Ich kann mithilfe der Sicherheitsrichtlinieneinstellung in der lokalen Gruppenrichtlinie eine zertifikatsbasierte IPsec-Verbindung herstellen, die Verschlüsselungseinstellungen reichen jedoch für die Sicherheitsumgebung, in der sie verwendet wird, nicht aus. Ich kann mit der Windows-Firewall auch eine auf einem vorinstallierten Schlüssel basierende IPsec-Verbindung herstellen, diese schlägt jedoch fehl, wenn ich zu Zertifikaten wechsle.
Der Fehler im Windows-Ereignisprotokoll lautet „IKE konnte kein gültiges Computerzertifikat finden“. Basierend auf diesemTechnet-Artikel, meine Zertifikate sind gültig und ich habe sichergestellt, dass sich ihre Stammzertifizierungsstelle auch auf dem Computer befindet.
Das CAPI2-Protokoll (Crypto-API) ist aktiviert und auf ausführlichen Modus eingestellt, zeigt aber keine Fehler an. Aus den Protokollen geht hervor, dass es die Zertifikatskette immer wieder überprüft, ohne Fehler anzuzeigen.
Das Zertifikat verfügt über KeyUsage für digitale Signatur, Schlüsselverschlüsselung und Nichtabstreitbarkeit. Die EKUs sind Serverauthentifizierung, Clientauthentifizierung und IKE-Zwischenprodukt. Ich habe die CRL-Prüfung vorübergehend deaktiviert, daher kann ich das ausschließen.
Irgendeine Idee, warum mein Zertifikat ungültig ist und was ich tun muss, um es zu beheben?