摘要： 1： 在证书-计算机-个人下，至少有 1 张【服务器身份验证 + IP 安全 IKE 中级 】的计算机证书。 如果有多张合格的【服务器身份验证 + IP 安全 IKE 中级】计算机证书，RAS会根据证书的sha1值 倒序排序，选择倒序排序第1个证书。 todo：目前已经测试出的结论：最好有且只有1张 阅读全文

摘要： 现象如题。 经过反复细致的删除、测试，最终定位在：以下几个组件万万不可删除！ 1）组件移除-》多媒体-》增强的视频呈现（EVR）-》媒体功能 [ -> windows多媒体编码器-> windows media player] 2）组件移除-》系统-》Mobile PC(移动 PC) 3）组件移除- 阅读全文

摘要： windows server 默认的证书服务【证书颁发机构】，无论是在AD域中、或独立的机构，通过默认的途径【web注册、或域内申请】，默认的制作证书的向导选项或模板中都不符合架设IKEv2远程访问的要求。 关键的地方就是在于X.509证书的扩展增强密钥用法【extended key usage】选 阅读全文

摘要： vpn客户端的证书的用法必须是：模板中的选项：二者（交换+签名） 否则是无法建立L2TP连接的！ 更进一步，其实是ca进行发证时所选择的算法决定的： windows server 2003 的默认算法就是同时支持二者的。 而，windows server 2008+ 默认的算法竟然只是交换！！！！ 阅读全文

摘要： 关键知识点： 可信根root CA root CA 签发的“服务器身份验证”类型的crt CN【姓名、颁发给、使用者】必须是 “计算机全名【FQDN：Fully Qualified Domain Name：完整限定的域名】” crt扩展属性中必须包含CRL【证书吊销列表】的CDP【证书吊销列表 分发 阅读全文