Sécurité de connection au pare-feu Windows avec certificate (2)

J'ai un problème similaire à celui de la question avec le même titre en octobre dernier.

Sur une machine Windows Server 2008, en utilisant les règles de security de connection du Pare-feu Windows, j'ai besoin d'établir une connection au mode de transport IPsec à un autre server 2008 en utilisant des certificates d'authentification.

Je peux établir une connection IPsec basée sur un certificate en utilisant le paramètre de stratégie de security dans la politique de groupe locale, mais les parameters de encryption sont insuffisants pour l'environnement de security dans lequel il sera utilisé. Je peux également établir une connection IPsec basée sur une key partagée avec Window Firewall , mais il échoue lorsque je passe aux certificates.

L'erreur dans le journal des events de Windows indique "IKE n'a pas trouvé le certificate de machine valide". Selon cet article de Technet , mes certs sont valides, et je me suis assuré que leur CA racine est également sur la machine.

Le journal CAPI2 (crypto API) est activé et configuré en mode détaillé, mais ne présente aucune erreur. À partir de ses journaux, il semble vérifier la string cert sans cesse en l'absence d'erreurs.

Le cert a KeyUsage pour la signature numérique, le chiffrement des keys et la non-répudiation. Les EKU sont authentification du server, authentification du client et intermédiaire IKE. J'ai désactivé temporairement la vérification de CRL, afin que je puisse la régler.

Une idée pourquoi mon cert est invalide et ce que je dois faire pour le réparer?