У меня такая же проблема, как и в вопросе с такое же название с октября прошлого года.
На компьютере с Windows Server 2008, используя правила безопасности подключения брандмауэра Windows, мне нужно установить соединение в транспортном режиме IPsec с другим сервером 2008, используя сертификаты для аутентификации.
Я могу установить соединение IPsec на основе сертификата, используя параметр политики безопасности в локальной групповой политике, однако настройки шифрования недостаточны для среды безопасности, в которой он будет использоваться. Я также могу установить соединение IPsec на основе общего ключа с помощью Window Firewall , но не работает, когда я переключаюсь на сертификаты.
Ошибка в журнале событий Windows говорит: «IKE не удалось найти действительный сертификат машины». Основываясь на этом Статья Technet , мои сертификаты действительны, и я убедился, что их корневой ЦС также находится на машине.
Журнал CAPI2 (крипто API) включен и настроен на подробный режим, но не показывает никаких ошибок. Судя по журналам, он снова и снова проверяет цепочку сертификатов, не показывая никаких ошибок.
Сертификат имеет KeyUsage для цифровой подписи, шифрования ключа и предотвращения отказа от авторства. EKU - это серверная аутентификация, клиентская аутентификация и промежуточный IKE. Я временно отключил проверку CRL, поэтому могу это исключить.
Есть идеи, почему мой сертификат недействителен и что мне нужно сделать, чтобы его исправить?