Für SSTP- und IKEv2-basierte (Secure Socket Tunneling-Protokoll und Internet Key Exchange version 2, Version 2 des Internetschlüsselaustauschs) virtuelle private Netzwerke (VPNs) werden zertifikatbasierte Authentifizierungsmethoden verwendet. Damit SSTP- oder IKEv2-basierte VPNs unterstützt werden, müssen Sie auf dem VPN-Server ein entsprechend konfiguriertes Zertifikat installieren.
Das Computerzertifikat, das Sie auf dem RRAS-Server konfigurieren, muss über die EKU-Eigenschaft (Enhanced Key Usage, erweiterte Schlüsselverwendung) Serverauthentifizierung oder Alle Zwecke verfügen. Dieses Computerzertifikat wird vom VPN-Client zum Authentifizieren des RRAS-Servers verwendet, wenn die Sitzung hergestellt wurde.
Installationsort für Zertifikate
Führen Sie auf dem RRAS-Server diese Schritte aus:
- Installieren Sie das Stamm-Zertifizierungsstellenzertifikat für die Zertifizierungsstelle (Certification Authority, CA), von der das Serverauthentifizierungszertifikat im Speicher Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen ausgestellt wurde.
- Installieren Sie das Serverauthentifizierungszertifikat, das von der Zertifizierungsstelle im Speicher Lokaler Computer\Persönlicher Speicher ausgestellt wurde.
Führen Sie auf dem Remote-VPN-Client diese Schritte aus:
- Installieren Sie das Stamm-Zertifizierungsstellenzertifikat für die Zertifizierungsstelle, von der das Serverauthentifizierungszertifikat im Speicher Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen ausgestellt wurde. Dies ist erforderlich, damit der Client dem vom Server bereitgestellten Serverauthentifizierungszertifikat vertraut.
- Wenn für den Client IKEv2-VPN-Verbindungen mit dem Server verwendet werden müssen, muss ein von der Zertifizierungsstelle ausgestelltes Clientauthentifizierungszertifikat im Speicher Lokaler Computer\Persönlicher Speicher installiert werden.
Wichtig | |
|
Weitere Verweise
Active Directory-Zertifikatdienste (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=136444)- Konfigurieren von RRAS