我正在尝试在 Windows Server 2008 R2 上创建 SSTP VPN,我安装了网络策略和访问服务以及 AD 证书颁发机构服务,
我创建了根证书并生成了服务器身份验证证书(以服务器的 FQDN 命名),对其进行了验证并将其安装在服务器上,我还在需要连接的客户端上安装了 CA 颁发机构证书,但是当我尝试连接时,出现此错误
无法为 xxx.netyxia.net-DC-CA 的 CA 证书 0 构建证书链。证书链已处理,但终止于不受信任提供商信任的根证书。0x800b0109 (-2146762487)。
(xxx.netyxia.net 是(更改后的)主机名),证书部署在服务器和客户端上。我搜索了几个小时......什么也没找到:(
有什么想法吗?
谢谢
答案1
听起来您好像在错误的存储中安装了证书,您应该尝试手动将其放入Trusted Root Certificate Authorities客户端机器上。
在客户端计算机上执行以下步骤:MMC > 为本地计算机添加“证书”管理单元 > 受信任的根证书颁发机构 > 在此处导入证书。
答案2
如果您在 Windows Server 上使用自签名证书,则可能需要绑定到 VPN 主机地址本身的证书以及颁发此证书的服务器本身的证书。我刚刚在 Windows 2012R2 Essentials 上设置了 SSTP VPN,在客户端,我必须做两件事:
安装 VPN 证书(例如 my.vpn.hostname.com)和签署该证书的 Windows 服务器 CA 证书。这两项都需要安装在本地计算机受信任的根证书颁发机构部分中的客户端帐户(不是用户部分)。这将为您提供链 - 签署此证书的 Windows Server CA 是受信任的,VPN 证书也是受信任的。您通常可以从 Windows Active Directory 证书服务器(例如 my.domain/certsvr)获取您的服务器 CA 证书,或者只是将其导出。
由于它是自签名的,您可能会收到错误(我遇到过...)客户端无法检查撤销。转到 RegEdit 并添加一个名为的新 DWORD沒有證書撤销檢查在 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters 中键入并将其设置为 1(即 true,不检查证书是否已被撤销)
理想情况下,您应该使用由适当的 CA 颁发的证书,以避免因吊销服务器可用而出现任何问题。关于证书本身,本文详细介绍了安全方面: