Я работаю над переходом с использования настроек IPSEC, хранящихся в «Политиках безопасности IP в Active Directory», на использование «Брандмауэра Windows с расширенной безопасностью» для моих компьютеров 2008+.
Мне удалось успешно настроить это с помощью аутентификации Kerberos, однако моя реализация openswan на моих Linux-боксах использует сертификаты. Всякий раз, когда я пытаюсь изменить метод аутентификации на сертификат компьютера (используя RSA и мой корневой CA), соединение обрывается.
Я сделал это изменение как в политике запроса на подключение, так и в настройках IPSEC на корневом узле Windows Firewall with Advanced Security. Журнал событий Windows показывает, что запрос на аутентификацию выполняется, но не удается согласовать режим.
Что я здесь упускаю?
решение1
После пары недель тестирования мне наконец удалось добиться того, что мне пришлось поставить галочку напротив пункта «Включить сопоставление сертификата с учетной записью» в правиле безопасности подключения.