При настройке сервера службы маршрутизации и удаленного доступа Windows (RRAS) для поддержки VPN-подключений Internet Key Exchange версии 2 (IKEv2) администратору необходимо определить корневой центр сертификации, для которого будут приниматься Ассоциации безопасности IPsec (SAs). Без определения этого параметра VPN-сервер будет принимать сертификат устройства, выданный любым корневым центром сертификации, определенным в хранилище доверенных корневых центров сертификации.
Несколько Корневых Сертификатов
Администраторы могут обнаружить, что при попытке определить конкретный корневой центр сертификации этот параметр может быть реализован не так, как ожидалось. Обычно это происходит, когда в хранилище доверенных корневых центров сертификации для одного и того же PKI имеется несколько корневых сертификатов.
Выбор Сертификата
При выполнении команды PowerShell Set-VpnAuthProtocol для определения корневого центра сертификации PowerShell может игнорировать определенный администратором сертификат и выбрать другой, как показано здесь. Это приведет к сбою IPSec VPN-подключений из Windows 10 Всегда на VPN-клиентах, использующих IKEv2.
Публикация Сертификата
Эта проблема может возникнуть при публикации сертификатов корневого центра сертификации с помощью групповой политики Active Directory. Похоже, что Windows предпочитает опубликованные сертификаты групповой политики Active Directory тем, которые публикуются непосредственно в контейнере центров сертификации в Active Directory. Чтобы устранить эту проблему, удалите все объекты групповой политики, публикующие сертификаты корневых центров сертификации, и убедитесь, что эти корневые сертификаты опубликованы в контейнере центров сертификации в Active Directory.
