none
关于RRAS服务IKEv2VPN使用的证书密钥问题 RRS feed

  • 问题

  • 如题,系统平台是windows server 2016 DC,之前一直使用的是RSA密钥的VPN服务器证书,IKEv2没有问题。后来更新了证书模板之后使用ECDSA256密钥的VPN服务器证书,客户机(一台Win10 1909及一台windows server 2019 standard)在连接时就会出现错误13806,IKE 无法找到有效的计算机证书。请联系您的网络安全管理员,了解有关在相关的证书存储中安装有效证书。VPN设置是使用用户名和密码登录,服务器端使用证书,客户端不使用证书。因为这个问题,不得不将证书模板改回使用RSA4096密钥并重新签发证书,请问具体是什么原因导致ECDSA密钥的证书无法工作呢?将服务器平台升级到windows server 2019DC是否可以解决这个问题呢?
    2020年9月2日 9:05

答案

  • Hello,

    我在环境中做了一下测试,当我使用ECDH_P256的时候,客户端连接也出现了问题(我用的是Windows 10 1809做的测试),相同的报错:

    经过我的查询发现,这是由于所使用的证书中的公钥类型组合不正确而引起的,因此导致了VPN连接失败。在VPN服务器上以及VPN客户端上将Key Exchange algorithm也就是DHgroup改成 ECP256后,问题即可解决。

    参考命令如下:

    服务器端:

    Set-VpnServerIPsecConfiguration -DHGroup ECP256

    客户端:

    Set-VpnConnectionIPsecConfiguration 'IKEV2' -DHGroup ECP256

    如果回复对您有所帮助的话,请您把回复标记为答复,方便论坛中其他有相同问题的用户快速找到有帮助的回复。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 莱纳德 2020年9月13日 7:56
    2020年9月8日 3:56
    版主

全部回复

  • Hello,

    请问您是否用的微软自己的CA平台?我这边正在尝试复现您的问题,但是没有找到ECDSA256密钥的选项,如果您是通过微软CA来发布证书的话,能否告知一下您是如何修改成ECDSA256密钥的?因为我们搭建IKEV2 VPN的时候一般都是使用默认的RSA。

    算法名称里并没有ECDSA256密钥的选项。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月3日 7:14
    版主
  • Hi ,

    请问目前问题有什么新的进展?

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月7日 8:00
    版主
  • 不好意思之前没看到,我说的就是这个ECDH_P256,主要是想用ECDSA代替RSA所以没注意具体名字不好意思
    2020年9月7日 18:12
  • Hello,

    我在环境中做了一下测试,当我使用ECDH_P256的时候,客户端连接也出现了问题(我用的是Windows 10 1809做的测试),相同的报错:

    经过我的查询发现,这是由于所使用的证书中的公钥类型组合不正确而引起的,因此导致了VPN连接失败。在VPN服务器上以及VPN客户端上将Key Exchange algorithm也就是DHgroup改成 ECP256后,问题即可解决。

    参考命令如下:

    服务器端:

    Set-VpnServerIPsecConfiguration -DHGroup ECP256

    客户端:

    Set-VpnConnectionIPsecConfiguration 'IKEV2' -DHGroup ECP256

    如果回复对您有所帮助的话,请您把回复标记为答复,方便论坛中其他有相同问题的用户快速找到有帮助的回复。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 莱纳德 2020年9月13日 7:56
    2020年9月8日 3:56
    版主
  • Hello,

    请问目前问题是否解决?如果问题已经解决,请您把有帮助的回复标记为答复,我们将暂停对此贴的追踪。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月10日 1:59
    版主
  • 谢谢,看起来应该是这个问题,不过我没有料到服务器端也需要改
    2020年9月13日 7:58
  • 是的,我这边也是经过测试之后发现两边是都要改的。

    不用客气的~后续如果有任何其他问题请随时来论坛发帖咨询。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月14日 0:15
    版主