Я настраиваю конфигурацию P2S на шлюзе Azure VPN. Я пытаюсь использовать проверку подлинности сертификата компьютера и IKEv2. Я использую встроенный клиент Windows 10 (1909) и самостоятельно сгенерированные сертификаты с помощью PowerShell.
Я могу заставить соединение работать, используя DH Group 2, однако мое соединение не работает, как только я переключаю DH Group на ECP256. Я получаю сообщение об ошибке «Ошибка (13801) Учетные данные для аутентификации IKE неприемлемы».
Первоначальный анализ показал, что сертификат должен быть типа ECP, поэтому я генерирую сертификат следующим образом:
New-SelfSignedCertificate -Type Custom `
-Subject "***" `
-CertStoreLocation "Cert:\LocalMachine\My" `
-Signer $cert `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") `
-KeyExportPolicy Exportable `
-KeyAlgorithm ECDSA_nistP256 `
-CurveExport CurveName `
-HashAlgorithm sha256
Кто-нибудь может предложить возможное решение?
Оказывается, на момент написания, соединения ECP256 P2S не поддерживаются для аутентификации сертификата компьютера.
Я подтвердил это Microsoft.
Попробуйте установить Расширенное использование ключа
на Аутентификация сервера
. См. Параметр -TextExtension
в New-SelfSignedCertificate . Это может быть немного сложно.
Использование OpenSSL вместо этого тоже может быть вариантом.