我们有一台Windows 2012服务器,通过SSTP接受VPN连接,并使用同一台服务器上的networking策略服务器function对其进行身份validation。 对于客户端身份validation,我们已经将其设置为需要证书,这是行之有效的。 实际上,这太好了。 问题是,如果服务器信任链中的根ca,它将接受任何客户端证书。 这意味着它不仅接受智能卡证书(由我们手动添加到信任存储的CA颁发),而且还接受由我们的内部CA颁发并存储在客户端计算机上的“软”证书。
这种行为是不可取的,因为我们希望每个人在连接到VPN服务器时都要使用实际的智能卡。 有什么办法强制这个? 使NPS服务器只信任特定的CA? 或者检查证书上的某些特定属性?
您可以通过configuration其受信任的根证书颁发机构来控制NPS应该信任的CA. 只需从商店中删除所有“软”CA。
我不知道有其他的select。