我有一個使用 IKEv2 和網域 CA 頒發的憑證的 RRAS VPN 設定。它有一個公共領域的證書,我知道這個證書正在提交給客戶。
無論如何,伺服器似乎發送了錯誤的證書,或者發送了所有伺服器身份驗證證書,其中包括由MS-組織-P2P-訪問 [2022]。這當然不會得到客戶的信任,然後他們就會退回。
看看Get-VpnAuthProtocol我可以看到它被告知使用網域的 CA。
不確定我如何告訴 RRAS 使用正確的憑證。
答案1
了解您的 RRAS 配置實際上是什麼、作業系統是什麼等等會非常有幫助。
無論如何,如果Get-VpnAuthProtocol顯示 TunnelAuthProtocolsAdvertished = "Certificate",那麼您可以用來Set-VpnAuthProtocol -CertificateAdvertised設定正確的憑證。
或做Set-VpnS2Snterface –MachineCertificate <-X509Certificate>。您的憑證使用者名稱或 SAN 必須與外部介面名稱相符。
我無法想像為什麼 RRAS 會提供垃圾的 Azure P2P 存取證書 - 它是客戶端證書,而不是伺服器證書。也許嘗試一下最佳實踐分析器,看看它是否標記了任何有用的東西:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn535711(v=ws.11)