我暂时已成为公司事实上的 IT/系统管理员。
我们使用 Microsoft Server 2016 来管理我们的 VPN 连接。
我相信我们的证书已经过期了。没有人能够访问 VPN,他们收到的错误是“根据系统时钟或签名文件中的时间戳进行验证时,所需的证书不在有效期内”。
老IT很友善地为我指明了正确的方向。他告诉我,我必须在管理 VPN 的 Microsoft 服务器计算机上创建一个新证书,然后每个客户端也需要一个新证书。
我已经确认我们在 VPN 服务器上的证书昨天确实过期了 -
如果询问,我可以提供更多详细信息 - 我可以访问 Server 2016 计算机,但我不知道这里相关的是什么。我的下一步应该是什么?
这意味着证书是通过 AD 证书服务在本地颁发的。您应该能够直接通过常用的“证书”面板 ( ) 续订或请求新证书
certlm.msc。(它并不完全是“自签名”;拥有自己的内部 CA 介于“自签名”和“公共 CA 颁发”之间。与真正的自签名证书不同,您不需要重新配置客户端来识别新证书,因为它们通常会识别您的整个内部 CA。)
在大多数情况下,保留密钥还是使用新密钥并不重要;重要的是证书配置文件(它影响将设置的属性)和“主题”中指定的域名(因为客户端通常希望它与他们要连接的内容相匹配,例如在 TLS 中)。
不过,SSTP 使用标准 TLS 证书,因此理论上您也可以使用通用(公共 CA)TLS 证书,只要该证书是为正确的域名颁发的。(PPTP 通常根本不使用证书;尽管如果 EAP-PEAP 身份验证处于活动状态,则可能会涉及证书,但这是在 RADIUS/NPS 服务器上设置的,而不是在 PPTP 服务器上设置的。)
该
certsrv.msc控制台是AD证书服务的管理工具,通常不需要颁发;在这种情况下,它只是表明您确实在网络上设置了 ADCS。