我正在尝试使用自签名证书在 Windows 2003 SP2 服务器上为我的 VPN 设置 PEAP-MS-Chap v2 身份验证。我在颁发证书时严格遵循了 PEAP 证书要求,如下所述这里(即主题名称不为空、公钥算法为 RSA、最小密钥长度为 2048 以及服务器身份验证的扩展密钥用法)。更具体地说,使用MakeCertWindows SDK 的实用程序,这是我用来创建服务器证书的命令:
Makecert.exe -r -pe -n CN="WV21066" -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -len 2048 server.cer
然后,我将证书安装在服务器的证书存储区 (localmachine) 的“受信任的根证书颁发机构”下。但是,当我现在尝试在路由和远程访问管理单元,我不断收到一条错误消息,指出没有安装合适的证书(“找不到可用于此可扩展身份验证协议的证书”,请参阅这里)。
在 Windows 资源管理器中检查证书,我可以看到它列出了服务器身份验证(1.3.6.1.5.5.7.3.1)属于“增强密钥使用”属性,其公钥(RSA)长度为 2048,且主题属性对应于CN = WV21066。
我是否遗漏了什么?
答案1
抱歉,我回答了自己的问题,但我希望它能帮助别人。问题是,我只将证书添加到“受信任的根证书颁发机构”存储区,而它也必须添加到“个人”存储区。