Certificado SSL causa erro de conexão VPN

2

Todos!
Meu problema - quando eu crio um certificado SSL (usando o selfssl7 ou o console de gerenciamento do IIS), minha conexão vpn (L2TP com autenticação de certificado) não é ativada (recebo o erro 789). Preciso excluir esse certificado para que a conexão funcione novamente.
Gostaria de saber se faço algo errado, aqui está a minha linha de comando selfssl:
selfssl7 /Q /T /I /S "site name" /N cn=localhost

Estou criando certificado e tendo problemas na mesma máquina, que se conecta ao servidor VPN do ISP. Desculpe se minha pergunta te fez pensar de outra forma.

    
por Madao 10.09.2011 / 20:56

3 respostas

1

O certificado que você instala no lado do servidor deve ser confiável para o cliente. Como você gerou um certificado autoassinado, copie o certificado para os clientes, importe-os e marque-os como confiáveis. Se seus clientes são móveis (ou seja, laptops), então, quando eles estiverem no escritório, você tem uma GPO para enviar o certificado automaticamente; se eles não forem móveis nem locais, você poderá usar o registro remoto ou o registro off-line . Espero que isso ajude, mas se não ... você deve considerar ler uma visão geral e configuração do cliente L2TP / IPSEC antes de passar muito mais tempo brincando.

    
por 16.09.2011 / 01:20
0

A partir do código de erro,

Causas possíveis: Este é um erro genérico que é lançado quando a negociação IPSec falha para conexões L2TP / IPSec.

Possíveis causas para este problema podem ser:

a > O cliente VPN baseado em L2TP (ou servidor VPN) está por trás do NAT.

b > Certificado errado ou chave pré-compartilhada é definido no servidor ou cliente VPN

c > Certificado de máquina ou certificado de máquina raiz confiável não está presente no servidor VPN.

d > O certificado de máquina no servidor VPN não tem 'Autenticação do servidor' como o EKU

Solução possível: Certifique-se de que o certificado correto seja usado no cliente e no servidor - para obter mais detalhes, consulte este blog. Caso a chave pré-compartilhada (PSK) seja usada, verifique se a mesma PSK está configurada no cliente e na máquina do servidor VPN.

Ref: link

    
por 10.09.2011 / 21:48
-1

Aviso: Eu nunca usei L2TP pessoalmente.

No meu entendimento, o L2TP com autenticação de certificado requer um par de certificado de servidor e cliente. O certificado de cliente deve ser emitido pelo servidor (CA). Geralmente, isso pode ser obtido com uma autoridade de certificação do Active Directory e diretivas de grupo para importar o certificado de autoridade de certificação e inscrição automática para certificados de cliente. Em qualquer caso, NÃO usando selfssl7 para criar um certificado autoassinado (servidor).

Você gerou o certificado usando um keylength de 2048 bits? Por padrão, ele pode usar 1024, o que pode não ser aceito pelo seu cliente VPN. Para determinar isso ou descobrir ponteiros em relação a outros erros, verifique o log de eventos no cliente e no servidor após iniciar uma sessão (com falha)!

selfssl7 /Q /T /I /S "site name" /N cn=localhost /K 2048

Para tornar as coisas mais simples, é uma opção usar SSTP (porta 443) ou PPTP com autenticação de usuário para estabelecer uma VPN?

    
por 05.11.2015 / 14:49

Tags