如何解决具有 Azure 证书身份验证的 Azure VPN 网关
我正在关注有关使用 Azure 证书身份验证类型和 IKEv2 设置 Azure VPN 网关的文档。我目前使用 Hashicorp 的 Vault 进行 PKI 管理。我已经生成了一个中间 CA,它将根据我们的根证书颁发机构颁发适当的证书,其中包含 Azure 所需的扩展密钥用法。
# Create the VPN intermediate.
vault secrets enable -path=pki-vpn pki
# Set the TTL
vault secrets tune -max-lease-ttl=43800h pki-vpn
# Generate the CSR.
vault write -format=json pki-vpn/intermediate/generate/internal \
common_name="AzureRoot" \
| jq -r '.data.csr' > pki-vpn-intermediate.csr
# Get the signed public certificate.
vault write -format=json pki/root/sign-intermediate csr=@pki-vpn-intermediate.csr \
format=pem_bundle ttl="43800h" \
| jq -r '.data.certificate' > intermediate-vpn.crt
# Upload the signed certificate to back to the intermediate.
vault write pki-vpn/intermediate/set-signed certificate=@intermediate-vpn.crt
# Create an issuing role,specifically for client authentication.
vault write pki-vpn/roles/vpn \
allow_any_name=true \
server_flag=false \
client_flag=true \
max_ttl="43800h"
# Issue a personal certificate and save it to AzureClient.cer and AzureClient.key
vault write pki-vpn/issue/vpn common_name="AzureClient" display_name="Test VPN Certificate" ttl="26280h"
为确保证书格式正确,我运行了 certutil.exe -MergePFX AzureClient.cer AzureClient.pfx
。 Azure docs 准确地引用了证书需要去的地方,以及它们的预期名称。我已经确认它们存在于那个位置。我还将中间根上传到 Azure VPN 网关点到站点配置页面,只将原始证书数据放在字段中,不复制页眉或页脚。
我对此进行了多次测试,以确保正确生成和正确上传证书。当我尝试登录我的 VPN 网关时,我收到错误 1244:
我找不到任何关于此错误试图告诉我的内容的参考,或者甚至抛出它的原因。因为我使用的是 Azure 证书 身份验证方法,所以我假设没有额外的身份验证步骤,因为甚至没有向证书添加身份验证的方法。我确实尝试在证书上添加密码,但小的 Azure UI 不会提示输入任何内容。我还验证了 Windows 10 上的 VPN 配置是“证书”而不是“用户名和密码”,因此它正在寻找正确的证书。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。