Назад | Перейти на главную страницу

Указание издателя сертификата машины с помощью Windows VPN

Я пытаюсь создать соединение Windows Always On VPN между AD и клиентом Windows 10, подключенным к AAD, и сервером StrongSwan VPN. Клиент Windows имеет несколько сертификатов «Проверка подлинности клиента» в хранилище компьютера, один из нашего внутреннего центра сертификации AD и один из Microsoft Intune MDM.

При использовании пользовательского туннеля с аутентификацией EAP мы можем указать отпечаток эмитента, чтобы VPN-клиент выбрал правильный сертификат, однако этот же вариант не кажется доступным при использовании аутентификации «Сертификат» для VPN устройств:

Это значение может быть одним из следующих:

  • Сертификат

Или из пользовательского интерфейса rasphone также нет доступных опций:

Конечным результатом является то, что он пытается аутентифицироваться с использованием сертификата Intune MDM вместо сертификата, выданного нашим ЦС, а strongswan настроен на прием соединений только с сертификатами, выданными нашим ЦС.

Есть ли способ указать Windows использовать сертификат, выданный конкретным центром сертификации, при подключении к VPN с сертификатом компьютера?

У меня возникла эта проблема при настройке WPA2-Enterprise с использованием моего собственного центра сертификации. Он будет работать нормально для любой машины, у которой есть только один сертификат машины, но как только на машине появляется другой, это смешанный пакет. Я так и не понял этого и закончил тем, что использовал корпоративный ЦС в домене, настроив машинную политику, при которой машина, присоединенная к домену, автоматически регистрировала и обновляла свои сертификаты, и это в конечном итоге работало. Кажется, что это не проблема, когда ЦС предприятия в домене выдает сертификат. Теперь он всегда выбирает правильный.