带证书的 Windows 防火墙连接安全 (2)

带证书的 Windows 防火墙连接安全 (2)

我有一个类似的问题同名从去年十月开始。

在 Windows Server 2008 计算机上,使用 Windows 防火墙的连接安全规则,我需要使用证书进行身份验证与另一台服务器 2008 建立 IPsec 传输模式连接。

我可以使用本地组策略中的安全策略设置建立基于证书的 IPsec 连接,但是加密设置不足以满足其将要使用的安全环境的要求。我还可以与 Windows 防火墙建立基于预共享密钥的 IPsec 连接,但是当我切换到证书时,连接会失败。

Windows 事件日志中的错误显示“IKE 未能找到有效的机器证书”。基于此Technet 文章,我的证书是有效的,并且我已确保它们的根 CA 也在机器上。

CAPI2(加密 API)日志已启用并设置为详细模式,但没有显示任何错误。从其日志来看,它似乎一遍又一遍地检查证书链,但没有显示任何错误。

该证书具有用于数字签名、密钥加密和不可否认性的 KeyUsage。EKU 是服务器身份验证、客户端身份验证和 IKE 中间。我已暂时关闭 CRL 检查,因此可以排除这种情况。

知道为什么我的证书无效以及我需要做什么来修复它吗?

相关内容