Início / computer / Perguntas / 1791633
Accepted
Brian Karabinchak
Asked: 2023-06-26 21:51:30 +0800 CST

O certificado VPN expirou - como posso corrigir isso?

  • 772

Eu me tornei o administrador de TI/sistemas de fato da minha empresa por enquanto.

Usamos o Microsoft Server 2016 para gerenciar nossa conexão VPN.

Acredito que nossos certificados expiraram. Ninguém consegue acessar a VPN e o erro que eles recebem é "um certificado necessário não está dentro do período de validade ao verificar o relógio do sistema ou o carimbo de data/hora no arquivo assinado".

A antiga TI foi gentil o suficiente para me apontar na direção certa. Ele me disse que terei que criar um novo certificado no computador Microsoft Server que gerencia nossa VPN e, então, cada cliente também precisará de um novo certificado.

Confirmei que nosso certificado no servidor VPN expirou ontem -insira a descrição da imagem aqui

Posso fornecer mais detalhes se solicitado - tenho acesso ao computador do Server 2016, mas não sei o que é pertinente aqui. Quais devem ser meus próximos passos aqui?

vpn

1 respostas

  1. Best Answer
    1. O Emitido por diz ourcopmpanyname-VPN-CA. O velho cara de TI disse que era auto-assinado, não sei se isso significa alguma coisa aqui. 5) Consigo executar certsrv.msc e vejo o certificado lá sim.

    Isso significa que o certificado foi emitido localmente por meio do AD Certificate Services. Você deve renová-lo ou solicitar um novo diretamente no painel "Certificados" ( certlm.msc).

    (Não é exatamente "autoassinado"; ter sua própria CA interna está no meio entre "autoassinado" e "CA pública emitida". Ao contrário dos verdadeiros certificados autoassinados, você não precisa reconfigurar os clientes para reconhecer o novo certificado, pois eles geralmente reconhecem toda a sua CA interna.)

    Na maioria dos casos, não importa se você mantém a chave ou usa uma nova; o que importa é o perfil do certificado (que influencia quais atributos serão definidos) e o nome de domínio especificado no "Assunto" (já que os clientes geralmente esperam que corresponda ao que estão se conectando, como no TLS).

    No entanto, o SSTP usa certificados TLS padrão, portanto, em teoria, você também pode usar um certificado TLS genérico (CA público), desde que seja emitido para o nome de domínio correto. (O PPTP normalmente não usa nenhum certificado; embora um certificado possa estar envolvido se a autenticação EAP-PEAP estiver ativa, mas isso é configurado no servidor RADIUS/NPS, não no servidor PPTP.)

    O certsrv.mscconsole é a ferramenta de administração para AD Certificate Services e geralmente não é necessário para emissão; neste caso, apenas revela que você de fato tem o ADCS configurado na rede.

    • 1

relate perguntas