SSL-сертификат доступен для IIS, но его нельзя выбрать для VPN (Win2022 Server)

aag

16.03.2023, 12:56

Я установил подстановочный SSL-сертификат на сервер Win2022 для использования как для веб-проверки (IIS), так и для проверки подлинности VPN. Я позволил Windows выбрать подходящее хранилище сертификатов, но на всякий случай установил сертификат и на LocalMachine. Теперь веб-обслуживание работает просто отлично. Однако сертификат не отображается при выборе сервера удаленного доступа и, следовательно, не может быть выбран. Хуже того, RAS теперь жалуется, что самозаверяющий сертификат по умолчанию не идентичен IIS SSL, и отказывается запускаться. Мой вопрос: Как сделать новый сертификат доступным для выбора на странице конфигурации RAS?

0 + 0

брандмауэр

Windows-сервер-2022

Greg Askew

16.03.2023, 15:17

Каковы способы использования сертификата?

Ответить

aag

16.03.2023, 15:29

Подтверждает вашу личность на удаленном компьютере/ / Обеспечивает идентификацию удаленного компьютера / 2.23.140.1.2.1 Он хранится в разделе «доверенный корневой центр сертификации» (текущий пользователь).

Ответить

Greg Askew

16.03.2023, 15:41

Он должен находиться в личном хранилище и иметь расширенное использование ключа проверки подлинности сервера (EKU) (OID 1.3.6.1.5.5.7.3.1). https://directaccess.richardhicks.com/2018/07/16/always-on-vpn-ssl-certificate-requirements-for-sstp/

Ответить

aag

16.03.2023, 19:25

большое спасибо за ваш совет; это высоко ценится. Я скопировал сертификат в личное хранилище и добавил к нему OID EKU и к каждому сертификату в его цепочке доверия. Затем я перезапустил службу RAS. Однако я по-прежнему вижу только самоподписанный сертификат, установленный автоматически, и «по умолчанию», который по какой-то причине нельзя выбрать (выдает ошибку). Что мне не хватает? :)

Ответить

aag

16.03.2023, 19:29

в информационном поле говорится: [1] Политика сертификатов: Идентификатор политики = Аутентификация сервера [1,1]Информация о классификаторе политики: Идентификатор квалификатора политики = Флаги корневой программы Квалификатор: с0

Ответить

aag

16.03.2023, 19:48

однако я заметил, что запись «Использование ключа» (значение: «Цифровая подпись, шифрование ключа (a0)») имеет знак внимания (желтый треугольник с восклицательным знаком). Значит ли это, что что-то не так?

Ответить

Greg Askew

16.03.2023, 21:24

Это странный набор EKU, учитывая, что вам нужен только тот, которого нет.

Ответить

aag

17.03.2023, 06:23

Дорогой Грег, спасибо, но я не совсем понимаю. Я ввел OID, который вы любезно указали.Почему его нет? Я думал, что текст "Аутентификация сервера" будет означать, что он был введен правильно...

Ответить

Admin

Этот вопрос на других языках:

EN: SSL certificate available to IIS but cannot be selected for VPN (Win2022 Server)

TH: ใบรับรอง SSL พร้อมใช้งานสำหรับ IIS แต่ไม่สามารถเลือกสำหรับ VPN (เซิร์ฟเวอร์ Win2022)

RO: Certificat SSL disponibil pentru IIS, dar nu poate fi selectat pentru VPN (Server Win2022)

RU: SSL-сертификат доступен для IIS, но его нельзя выбрать для VPN (Win2022 Server)

VI: Chứng chỉ SSL có sẵn cho IIS nhưng không thể chọn cho VPN (Máy chủ Win2022)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.