Хех, знакомая вещь. У меня в инструкции даже пунктик об этом есть:
6.1. При попытке подключения выдается сообщение «Непроверенные учетные данные проверки подлинности IKE»
Данное сообщение обычно означает, что Windows пытается использовать для аутентификации сторонний сертификат (поскольку изначально ограничение на издателя не установлено, Windows просто берет первый сертификат из раздела «Личное»)
Первоначально следует убедиться в следующих вещах:
- Личный сертификат установлен в область «Личное» компьютера (а не пользователя!)
- В области «Доверенные корневые центры сертификации» компьютера находятся все корневые сертификаты (см. Рисунок 10), при этом для сертификатов ... Subordinate CA #1 и ... Subordinate CA #2 допустимо находиться в области «Промежуточные центры сертификации» компьютера (Windows автоматически помещает ... Subordinate CA #1 в эту область)
- Путь издания сертификата верный
Как это сделать — см. Приложение 1
Если данные условия выполняются, но соединение не устанавливается, следует убедиться в том, что в области «Личное» компьютера находится один сертификат компьютера. Кто может разместить там сертификаты? Да кто угодно — клиент-банки, программы участия в тендерах, брокерские программы, сертификаты налоговой службы и т. д.
Если в области «Личное» компьютера находится более одного сертификата, следует выполнить следующую процедуру:
- правая кнопка на значке меню, пункт «Выполнить», ввести текст “powershell”
- в открывшейся консоли powershell ввести следующие команды:
$ca = Get-ChildItem Cert:\LocalMachine\Root | ? Subject -match 'CN=... Root CA'
Set-VpnConnection -ConnectionName "My VPN" -MachineCertificateIssuerFilter $ca
Эта фигня происходит из-за тупости винды. Она не умеет фильтровать сертификаты по издателю (по умолчанию) и для проверки соединения тупо берет первый по списку сертификат,
даже если он истекший. Указание фильтра издателя частично решает проблему, но удалять истекшие сертификаты по-прежнему надо.
Средний
