Я пытаюсь настроить аутентификацию PEAP-MS-Chap v2 для моей VPN на сервере Windows 2003 SP2, используя самозаверяющий сертификат. При выдаче сертификата я тщательно следовал требованиям сертификата PEAP, как указано Вот (т.е. имя субъекта не пусто, алгоритм открытого ключа RSA, минимальная длина ключа 2048 и расширенное использование ключа аутентификации сервера). Более конкретно, используя MakeCert
утилита Windows SDK, это команда, которую я использовал для создания сертификата сервера:
Makecert.exe -r -pe -n CN="WV21066" -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -len 2048 server.cer
Затем я установил сертификат в хранилище сертификатов сервера (localmachine) в разделе «Доверенные корневые центры сертификации». Однако, когда я сейчас пытаюсь выбрать сертификат для PEAP в Маршрутизация и удаленный доступ Snap-in, я продолжаю получать сообщение об ошибке, что не установлен подходящий сертификат («Не удалось найти сертификат, который можно использовать с этим протоколом расширенной аутентификации», см. Вот).
Изучая сертификат в проводнике Windows, я вижу, что в нем перечислены Аутентификация сервера (1.3.6.1.5.5.7.3.1) под свойством «Расширенное использование ключа» и что его открытый ключ (RSA) имеет длину 2048 и что свойство субъекта соответствует CN = WV21066.
Что мне не хватает?
Извините за ответ на мой собственный вопрос, но я надеюсь, что это поможет кому-то другому. Проблема заключалась в том, что я добавил сертификат только в хранилище «Доверенные корневые центры сертификации», тогда как он также должен быть добавлен в «Личное» хранилище.