大家!
我的问题 – 当我创buildSSL证书(使用selfssl7或IISpipe理控制台),我的vpn连接(L2TP与证书authentication)不会上去(我得到错误789)。 我必须删除此证书才能再次连接。
我不知道我做错了什么,这是我的selfssl命令行:
selfssl7 /Q /T /I /S "site name" /N cn=localhost
我正在创build证书,并在连接到ISP的VPN服务器的同一台机器上有麻烦。 对不起,如果我的问题让你觉得不然。
您在服务器端安装的证书必须由客户端信任。 由于您生成了自签名证书,因此您应该将证书复制到客户端,将其导入并将其标记为可信。 如果你的客户是移动的(即笔记本电脑),那么当他们在办公室时,你有一个GPO自动推送证书; 如果他们不是移动的而不是本地的,则可以使用远程注册或离线注册 。 希望这有帮助,但如果不是的话……你应该考虑阅读一个概述和客户端的L2TP / IPSECconfiguration,然后花费更多的时间玩耍。
从错误代码中,
可能原因:这是L2TP / IPSec连接IPSec协商失败时的通用错误。
这个问题的可能原因可能是:
基于L2TP的VPN客户端(或VPN服务器)位于NAT后面。
b>在VPN服务器或客户端上设置了错误的证书或预共享密钥
c>在VPN服务器上不存在机器证书或受信任的根计算机证书。
d> VPN服务器上的计算机证书没有“服务器身份validation”作为EKU
可能的解决scheme:确保在客户端和服务器端均使用正确的证书 – 有关更多详细信息,请参阅此博客。 如果使用预共享密钥(PSK),请确保在客户端和VPN服务器上configuration相同的PSK。
参考: http : //blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-errors.aspx
免责声明:我从来没有真正使用过L2TP。
据我的理解,具有证书authentication的L2TP需要一个服务器和客户端证书对。 客户端证书必须由服务器(CA)发布。 通常,这可以通过Active Directory证书颁发机构和组策略来导入CA-cert和自动注册客户端证书来实现。 无论如何,不要使用selfssl7来创build自签名(服务器)证书。
您是否使用2048位密钥长度生成证书? 默认情况下,它可能会使用您的VPN客户端不能接受的1024。 要确定这个或发现指向其他错误的指针,请在启动(失败)会话后检查客户端和服务器上的事件日志!
selfssl7 /Q /T /I /S "site name" /N cn=localhost /K 2048
为了简单起见,是否可以使用SSTP(端口443)或PPTP进行用户身份validation来build立VPN?