我正在 Azure VPN 网关上设置 P2S 配置。我正在尝试使用机器证书身份验证和 IKEv2。我正在使用内置的 Windows 10 (1909) 客户端和使用 powershell 自行生成的证书。
我可以使用 DH Group 2 进行连接,但是一旦我将 DH Group 切换到 ECP256,我的连接就会失败。我收到错误“错误 (13801) IKE 身份验证凭据不可接受。”
初步分析表明证书需要是 ECP 类型,因此我生成的证书如下:
New-SelfSignedCertificate -Type Custom `
-Subject "***" `
-CertStoreLocation "Cert:\LocalMachine\My" `
-Signer $cert `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") `
-KeyExportPolicy Exportable `
-KeyAlgorithm ECDSA_nistP256 `
-CurveExport CurveName `
-HashAlgorithm sha256
任何人都可以提出一个可能的解决方案吗?
尝试将 设置
Enhanced Key Usage为Server Authentication。请参阅New-SelfSignedCertificate 的参数-TextExtension。把它做好可能有点棘手。使用OpenSSL也可能是一种选择。
事实证明,在撰写本文时,机器证书身份验证不支持 ECP256 P2S 连接。
我已经得到微软的证实。