Я пытаюсь создать соединение Windows Always On VPN между AD и клиентом Windows 10, подключенным к AAD, и сервером StrongSwan VPN. Клиент Windows имеет несколько сертификатов «Проверка подлинности клиента» в хранилище компьютера, один из нашего внутреннего центра сертификации AD и один из Microsoft Intune MDM.
При использовании пользовательского туннеля с аутентификацией EAP мы можем указать отпечаток эмитента, чтобы VPN-клиент выбрал правильный сертификат, однако этот же вариант не кажется доступным при использовании аутентификации «Сертификат» для VPN устройств:
Это значение может быть одним из следующих:
- Сертификат
Или из пользовательского интерфейса rasphone также нет доступных опций:
Конечным результатом является то, что он пытается аутентифицироваться с использованием сертификата Intune MDM вместо сертификата, выданного нашим ЦС, а strongswan настроен на прием соединений только с сертификатами, выданными нашим ЦС.
Есть ли способ указать Windows использовать сертификат, выданный конкретным центром сертификации, при подключении к VPN с сертификатом компьютера?
У меня возникла эта проблема при настройке WPA2-Enterprise с использованием моего собственного центра сертификации. Он будет работать нормально для любой машины, у которой есть только один сертификат машины, но как только на машине появляется другой, это смешанный пакет. Я так и не понял этого и закончил тем, что использовал корпоративный ЦС в домене, настроив машинную политику, при которой машина, присоединенная к домену, автоматически регистрировала и обновляла свои сертификаты, и это в конечном итоге работало. Кажется, что это не проблема, когда ЦС предприятия в домене выдает сертификат. Теперь он всегда выбирает правильный.