Sécurité de connection au pare-feu Windows avec certificate (2)

J'ai un problème similaire à celui de la question avec le même titre en octobre dernier.

Sur une machine Windows Server 2008, en utilisant les règles de security de connection du Pare-feu Windows, j'ai besoin d'établir une connection au mode de transport IPsec à un autre server 2008 en utilisant des certificates d'authentification.

Je peux établir une connection IPsec basée sur un certificate en utilisant le paramètre de stratégie de security dans la politique de groupe locale, mais les parameters de encryption sont insuffisants pour l'environnement de security dans lequel il sera utilisé. Je peux également établir une connection IPsec basée sur une key partagée avec Window Firewall , mais il échoue lorsque je passe aux certificates.

L'erreur dans le journal des events de Windows indique "IKE n'a pas trouvé le certificate de machine valide". Selon cet article de Technet , mes certs sont valides, et je me suis assuré que leur CA racine est également sur la machine.

Le journal CAPI2 (crypto API) est activé et configuré en mode détaillé, mais ne présente aucune erreur. À partir de ses journaux, il semble vérifier la string cert sans cesse en l'absence d'erreurs.

Le cert a KeyUsage pour la signature numérique, le chiffrement des keys et la non-répudiation. Les EKU sont authentification du server, authentification du client et intermédiaire IKE. J'ai désactivé temporairement la vérification de CRL, afin que je puisse la régler.

Une idée pourquoi mon cert est invalide et ce que je dois faire pour le réparer?

  • Le tunnel IPSec échoue en phase 2
  • Routage du problème le long de IPSEC VPN
  • Routage des réseaux privés sur IPSEC VPN
  • Apather entre deux succursales via VPN IPsec vers le siège social?
  • Strongswan - échec de la request de transaction Cisco ASA
  • Accès Internet pour le système sur plusieurs sauts de ipsec en utilisant GRE et OSPF
  • Serveur StrongSwan IPsec avec le client VPN AWS ​​EC2 VPC VPN
  • Le package ne pénètre pas dans le tunnel IPSEC Juniper SRX
  • Impossible d'utiliser le L2TP IPSEC
  • Qu'est-ce qui pourrait provoquer un racoonctl pour montrer un nombre de Phase2 supérieur au nombre de ports que le racoon écoute?
  • Routage entre sous-réseaux pfSense et IPSec VPN
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.