У меня есть настройка RRAS VPN с использованием IKEv2 и сертификаты, выпущенные CA домена. У него есть сертификат для публичного домена, и я знаю, что это будет представлено клиенту.
Однако, похоже, что либо сервер отправляет неправильный сертификат, либо отправляет все свои сертификаты аутентификации сервера, включая тот, который был выданMS-Организация-P2P-Доступ [2022]. Конечно, клиенты этому не доверяют и отказываются от этого.
Глядя на это, Get-VpnAuthProtocolя вижу, что ему сказано использовать CA домена.
Не уверен, как указать RRAS использовать правильный сертификат.
решение1
Было бы очень полезно узнать, какова на самом деле конфигурация вашего RRAS, какая у вас ОС и т. д.
В любом случае, если Get-VpnAuthProtocolотображается TunnelAuthProtocolsAdvertised = "Certificate", то вы можете использовать его Set-VpnAuthProtocol -CertificateAdvertisedдля установки правильного сертификата.
Или сделайте Set-VpnS2Snterface –MachineCertificate <-X509Certificate>. Имя субъекта вашего сертификата или SAN должны совпадать с именем внешнего интерфейса.
Я не могу себе представить, почему RRAS представил бы этот хлам Azure P2P access - это клиентский сертификат, а не серверный. Может быть, попробуйте best-practice analyzer и посмотрите, не пометит ли он что-нибудь полезное:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn535711(v=ws.11)