我们有一台 Windows 2012 服务器,它通过 SSTP 接受 VPN 连接,并使用同一服务器上的网络策略服务器功能对其进行身份验证。对于客户端身份验证,我们已将其设置为需要证书,效果很好。实际上,效果太好了。问题是,如果服务器信任链中的根 CA,它会接受任何客户端证书。这意味着它不仅接受智能卡证书(由我们手动添加到信任库的 CA 颁发),还接受由我们的内部 CA 颁发并存储在客户端计算机上的“软”证书。
这种行为是不可取的,因为我们希望要求每个人在连接到 VPN 服务器时都使用真正的智能卡。有什么办法可以强制执行吗?让 NPS 服务器仅信任特定的 CA?或者检查证书上的某些特定属性?
答案1
您可以通过配置 NPS 的以下 CA 来控制 NPS 应该信任哪个 CA:受信任的根证书颁发机构. 只需从商店中删除所有“软”CA。
我不知道还有其他选择。