Ich habe ein RRAS-VPN-Setup mit IKEv2 und Zertifikaten, die von der Zertifizierungsstelle der Domäne ausgestellt wurden. Es hat ein Zertifikat für die öffentliche Domäne und ich weiß, dass dies dem Client präsentiert wird.
Es scheint jedoch, dass der Server entweder das falsche Zertifikat sendet oder alle seine Server-Authentifizierungszertifikate sendet, darunter eines, das vonMS-Organisation-P2P-Zugang [2022]. Die Kunden vertrauen dem natürlich nicht und geben es dann zurück.
Wenn ich es mir ansehe, Get-VpnAuthProtocolsehe ich, dass die Anweisung lautet, die CA der Domäne zu verwenden.
Ich bin nicht sicher, wie ich RRAS sage, dass es das richtige Zertifikat verwenden soll.
Antwort1
Es wäre wirklich hilfreich zu wissen, wie Ihre RRAS-Konfiguration tatsächlich aussieht, welches Betriebssystem Sie verwenden usw.
Wenn jedoch Get-VpnAuthProtocolTunnelAuthProtocolsAdvertised = „Zertifikat“ angezeigt wird, können Sie damit Set-VpnAuthProtocol -CertificateAdvertiseddas richtige Zertifikat festlegen.
Oder tun Sie es Set-VpnS2Snterface –MachineCertificate <-X509Certificate>. Ihr Zertifikatsinhabername oder SAN muss mit dem Namen der externen Schnittstelle übereinstimmen.
Ich kann mir nicht vorstellen, warum RRAS das minderwertige Azure P2P-Zugriffszertifikat vorlegen würde – es ist ein Client-Zertifikat, kein Server-Zertifikat. Versuchen Sie es vielleicht mit dem Best-Practice-Analyzer und sehen Sie, ob er etwas Nützliches anzeigt:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn535711(v=ws.11)