Azure P2S VPN 连接 ECP 证书身份验证问题:错误 (13801) IKE 身份验证凭据不可接受

tag-icon tag-icon vpn azure windows-10 point-to-site-vpn
Azure P2S VPN 连接 ECP 证书身份验证问题:错误 (13801) IKE 身份验证凭据不可接受

我正在 Azure VPN 网关上设置 P2S 配置。我尝试使用机器证书身份验证和 IKEv2。我正在使用内置的 Windows 10 (1909) 客户端和使用 powershell 自行生成的证书。

我可以使用 DH 组 2 建立连接,但是一旦我将 DH 组切换到 ECP256,连接就会失败。我收到错误“错误 (13801) IKE 身份验证凭据不可接受。”

初步分析表明该证书需要为 ECP 类型,因此我按如下方式生成证书:

New-SelfSignedCertificate -Type Custom `
  -Subject "***" `
  -CertStoreLocation "Cert:\LocalMachine\My" `
  -Signer $cert `
  -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") `
  -KeyExportPolicy Exportable `
  -KeyAlgorithm ECDSA_nistP256 `
  -CurveExport CurveName `
  -HashAlgorithm sha256

有人能提出一个可能的解决方案吗?

答案1

尝试将设置Enhanced Key UsageServer Authentication。查看-TextExtension的参数新自签名证书。要做到这一点可能有点困难。

使用OpenSSL相反也可能是一种选择。

答案2

事实证明,在撰写本文时,ECP256 P2S 连接不支持机器证书认证。

我已经得到微软的确认。

相关内容