none
Windows Server 2016 NPS 配置IKEv2 VPN认证,配置为Radius服务端,从AD CS中导出的证书导入MikroTik Router系统中无法识别密钥 RRS feed

  • 问题

  • 您好,

    系统版本为Windows Server 2016数据中心版。我首先建立了AD DS,然后建立了AD CS,最后在NPS中建立了基于IKEv2 VPN的Radius服务器,但是出现了问题。我将Windows Server 2016中生成的VPN Server证书导入到MikroTik Router中,该路由器无法识别私钥。是什么原因?附上截图:

    顺祝商祺!
    2020年12月3日 6:40

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您描述,我理解您有一个AD域环境,ADDS和ADCS都是建立在同一台Windows Server 2016数据中心版,即这台域控也是CA服务器。

    为了更好地理解并排查您的问题,请确认以下信息:
    1.请问MikroTik Router这个设备加域了吗?
    2.您是想把MikroTik Router作为VPN服务器吗?是不是把作为VPN服务器,同时作为radius client?
    3.根据这句话“我将Windows Server 2016中生成的VPN Server证书导入到MikroTik Router中”,您有Windows server作为NPS server,对吗?如果是的话,现在是在Windows的VPN server上向CA server申请了一张证书,然后把这张VPN server的证书导出来再导入到MikroTik Router使用,对吗?那么这张证书在Windows的VPN server可以正常使用吗?
    4.在您的环境中,VPN作为radius client, NPS作为radius server,NPS (radius server)将VPN(radius client)发过来的验证请求进行一个身份验证和授权,是这样吗?
    5.您可以直接使用CA server给MikroTik Router颁发一张证书,看是否可以正常使用。

    另外,请附上您的报错截图,谢谢!


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年12月4日 3:19
    版主
  • 您好,

    我在技术论坛中新注册了帐户:2728481257@qq.com,但发帖的时候,正文无法插入图片和链接,提示:“在帐号没有得到验证前,正文无法插入链接与图片”,但帐号在注册时已经验证了,为什么还要验证,如何验证?所提问题涉及链接或图片要通过客服转发,影响反馈的效率,请帮忙解决;下面确认您提出的疑问:

    1.我在一台机器安装Windows Server 2016数据中心版,在这台机器安装了AD DS, AD CS和NPS服务,MikroTik Router没有加入域,也不知路由如何加域;

    2.MikroTik Router作为VPN Server同时又作为Radius Client,;

    3.NPS 作为Radius Server,VPN Server证书是在这台机器上申请获得的,显示“该证书没有问题”但这张证书导入MikroTik Router,路由显示找不到密钥

    4.是的;

    5.如何操作?在NPS申请一张VPN Server证书导入路由行不通?

    顺祝商祺!

    2020年12月4日 6:27
  • 尊敬的客户,您好!

    感谢您的回复。

    请问您的VPN Server证书的私钥是否可以导出?
    如果可以导出来的话,您导出来的证书是.pfx的带私钥的证书文件还是.crt不带私钥的证书文件?然后导入到
    MikroTik Router?

    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月4日 6:50
    版主
  • 您好,

    VPN Server证书私钥可以导出,导出的是pfx的带私钥的证书。

    顺祝商祺!

    2020年12月4日 7:58
  • 尊敬的客户,您好!

    感谢您的回复。

    如果您在导出私钥的时候,确实像下面一样选择了导出私钥,那么证书是包含私钥的证书。



    但是把这张证书导入到MikroTik Router,还是显示私钥不可识别或者找不到私钥,因为我们对设备MikroTik Router不太了解,建议您可以咨询下MikroTik Router厂商的工程师看看。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月7日 5:50
    版主
  • 您好,

    是的,是按照上面的选项导出的证书,但导入MikroTik Router中识别不了私钥;我是在NPS中申请的VPN-Server证书,AD CS 没有安装网络设备注册服务,只安装了证书颁发机构,证书颁发机构Web注册和证书注册Web服务这三个选项,这样申请的证书适合Windows系统,是否也适用于网络设备,比如路由?

    顺祝商祺!

    2020年12月9日 0:47
  • 尊敬的客户,您好!

    感谢您的回复。

    这张证书能在Windows server上正常工作,那么证书应该没问题的。

    很抱歉,由于您的这个路由器是nin-Windows的设备,我们对这个路由器不太了解,您可以咨询下路由器厂商的工程师看看是否能提供您任何帮助。

    或者您可以尝试安装网络设备注册服务,然后给这个路由器颁发证书,看是否有用呢。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月9日 6:48
    版主
  • 您好,

    关于网络设备注册服务,如何使用,能给个链接吗?

    顺祝商祺!

    2020年12月9日 7:07
  • 尊敬的客户,您好!

    感谢您的回复。

    Network Device Enrollment Service Guidance
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831498(v=ws.11)

    Active Directory Certificate Services (AD CS): Network Device Enrollment Service (NDES)
    https://social.technet.microsoft.com/wiki/contents/articles/9063.active-directory-certificate-services-ad-cs-network-device-enrollment-service-ndes.aspx


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月11日 9:31
    版主
  • 尊敬的客户,您好!

    很抱歉才恢复您。

    关于NDES(Network Device Enrollment Service),您可以参考以下的链接。

    Network Device Enrollment Service Guidance
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831498(v=ws.11)

    Active Directory Certificate Services (AD CS): Network Device Enrollment Service (NDES)
    https://social.technet.microsoft.com/wiki/contents/articles/9063.active-directory-certificate-services-ad-cs-network-device-enrollment-service-ndes.aspx


    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月14日 2:27
    版主
  • 尊敬的客户,您好!

    对于您的问题,你还需要其他的帮助吗?

    如果您还有任何问题,欢迎您随时咨询我们。

    感谢您的理解和支持。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月16日 1:12
    版主
  • 您好,

    导入证书没有私钥的问题已经解决了,我在手机端发起认证失败,Windows Server 2016用户认证日志在哪里查看?仪表盘NAPS事件中没有任何信息.由于发不了截图,如果有其它沟通方式,请告知.

    顺祝商祺!

    2020年12月16日 4:37
  • 您好,

    下面是手机端strongSwan认证失败日志:

    Dec 16 14:40:32 00[DMN] +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
    Dec 16 14:40:32 00[DMN] Starting IKE service (strongSwan 5.8.1, Android 9 - PAR-AL00 

    9.1.0.353(C00E351R1P1)/2020-07-01, PAR-AL00 - HUAWEI/PAR-AL00/HUAWEI, Linux 4.9.148, 

    aarch64)
    Dec 16 14:40:32 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf 

    random nonce pubkey chapoly curve25519 pkcs1 pkcs8 pem xcbc hmac socket-default revocation 

    eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls x509
    Dec 16 14:40:32 00[JOB] spawning 16 worker threads
    Dec 16 14:40:32 06[IKE] initiating IKE_SA android[5] to 172.18.168.1
    Dec 16 14:40:32 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N

    (NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    Dec 16 14:40:32 06[NET] sending packet: from 172.18.168.253[54232] to 172.18.168.1[500] (716 

    bytes)
    Dec 16 14:40:32 14[NET] received packet: from 172.18.168.1[500] to 172.18.168.253[54232] (38 

    bytes)
    Dec 16 14:40:32 14[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
    Dec 16 14:40:32 14[IKE] peer didn't accept DH group ECP_256, it requested MODP_2048
    Dec 16 14:40:32 14[IKE] initiating IKE_SA android[5] to 172.18.168.1
    Dec 16 14:40:32 14[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N

    (NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    Dec 16 14:40:32 14[NET] sending packet: from 172.18.168.253[54232] to 172.18.168.1[500] (908 

    bytes)
    Dec 16 14:40:32 05[NET] received packet: from 172.18.168.1[500] to 172.18.168.253[54232] 

    (429 bytes)
    Dec 16 14:40:32 05[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) 

    CERTREQ ]
    Dec 16 14:40:32 05[CFG] selected proposal: 

    IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
    Dec 16 14:40:32 05[IKE] faking NAT situation to enforce UDP encapsulation
    Dec 16 14:40:32 05[IKE] sending cert request for "DC=net, DC=rq-kj, CN=rq-kj-DC-CA"
    Dec 16 14:40:32 05[IKE] establishing CHILD_SA android{5}
    Dec 16 14:40:32 05[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ

    (ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) 

    N(MSG_ID_SYN_SUP) ]
    Dec 16 14:40:32 05[NET] sending packet: from 172.18.168.253[51535] to 172.18.168.1[4500] 

    (464 bytes)
    Dec 16 14:40:32 09[NET] received packet: from 172.18.168.1[4500] to 172.18.168.253[51535] 

    (2960 bytes)
    Dec 16 14:40:32 09[ENC] parsed IKE_AUTH response 1 [ IDr CERT CERT AUTH EAP/REQ/ID ]
    Dec 16 14:40:32 09[IKE] received end entity cert "CN=vpn.rq-kj.net"
    Dec 16 14:40:32 09[IKE] received issuer cert "DC=net, DC=rq-kj, CN=rq-kj-DC-CA"
    Dec 16 14:40:32 09[CFG]   using certificate "CN=vpn.rq-kj.net"
    Dec 16 14:40:32 09[CFG]   using trusted ca certificate "DC=net, DC=rq-kj, CN=rq-kj-DC-CA"
    Dec 16 14:40:32 09[CFG] checking certificate status of "CN=vpn.rq-kj.net"
    Dec 16 14:40:32 09[CFG]   fetching crl from 'ldap:///CN=rq-kj-DC-CA,CN=DC,CN=CDP,CN=Public

    %20Key%20Services,CN=Services,CN=Configuration,DC=rq-kj,DC=net?certificateRevocationList?

    base?objectClass=cRLDistributionPoint' ...
    Dec 16 14:40:32 09[LIB] unable to fetch from ldap:///CN=rq-kj-DC-CA,CN=DC,CN=CDP,CN=Public

    %20Key%20Services,CN=Services,CN=Configuration,DC=rq-kj,DC=net?certificateRevocationList?

    base?objectClass=cRLDistributionPoint, no capable fetcher found
    Dec 16 14:40:32 09[CFG] crl fetching failed
    Dec 16 14:40:32 09[CFG] certificate status is not available
    Dec 16 14:40:32 09[CFG]   reached self-signed root ca with a path length of 0
    Dec 16 14:40:32 09[IKE] authentication of 'vpn.rq-kj.net' with RSA signature successful
    Dec 16 14:40:32 09[IKE] server requested EAP_IDENTITY (id 0x00), sending 'ikev2test1'
    Dec 16 14:40:32 09[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]
    Dec 16 14:40:32 09[NET] sending packet: from 172.18.168.253[51535] to 172.18.168.1[4500] (96 

    bytes)
    Dec 16 14:40:32 04[NET] received packet: from 172.18.168.1[4500] to 172.18.168.253[51535] 

    (240 bytes)
    Dec 16 14:40:32 04[ENC] parsed IKE_AUTH response 2 [ EAP/FAIL ]
    Dec 16 14:40:32 04[IKE] received EAP_FAILURE, EAP authentication failed
    Dec 16 14:40:32 04[ENC] generating INFORMATIONAL request 3 [ N(AUTH_FAILED) ]
    Dec 16 14:40:32 04[NET] sending packet: from 172.18.168.253[51535] to 172.18.168.1[4500] (80 

    bytes)

    顺祝商祺!

    2020年12月16日 7:28
  • 尊敬的客户,您好!

    感谢您的回复。

    很高兴导入证书没有私钥的问题已经解决了,如果您能分享一下导入证书没有私钥问题的解决方案那就太好了,以便以后有相似问题的人能找到解决方案。

    一般我们在一个帖子里解决一个问题,现在您有新的
    手机端发起认证失败问题(与原始帖子的问题不一样),请重新开一个帖子,并详细描述“我在手机端发起认证失败”的问题。

    感谢您的理解和支持。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月17日 1:20
    版主
  • 您好,

    Windows Server 2016安装网络设备注册服务,然后路由向AD CS申请证书.

    顺祝商祺!

    2020年12月17日 5:12
  • 尊敬的客户,您好!

    非常感谢您的分享。

    很高兴您这个问题已经解决了。如果您还有其他的问题,建议您重新上贴。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2020年12月18日 9:22
    版主