我有一个类似的问题,去年十月同样的题目 。
在Windows Server 2008计算机上,使用Windows防火墙的连接安全规则,需要使用证书进行身份validation,以build立到另一个服务器2008的IPsec传输模式连接。
我可以使用本地组策略中的安全策略设置来build立基于证书的IPsec连接,但是对于将要使用的安全环境,encryption设置是不够的。我也可以使用Windows防火墙build立基于预共享密钥的IPsec连接,但是当我切换到证书时失败。
Windows事件日志中的错误说“IKE找不到有效的机器证书”。 基于这个Technet文章 ,我的证书是有效的,我也确定他们的根CA也在机器上。
CAPI2(crypto API)日志已启用并设置为详细模式,但不显示任何错误。 从它的日志中,它似乎一遍又一遍地检查证书链,没有显示任何错误。
该证书具有用于数字签名,密钥encryption和不可否认的KeyUsage。 EKU是服务器authentication,客户端authentication和IKE中间。 我暂时closures了CRL检查,所以我可以排除这一点。
任何想法为什么我的证书是无效的,我需要做些什么来解决它?