zertifikatsbasiertes Windows-L2TP-VPN: Client präsentiert falsches Computer-Zertifikat

Diskutiere zertifikatsbasiertes Windows-L2TP-VPN: Client präsentiert falsches Computer-Zertifikat im Windows 10 Forum im Bereich Microsoft Community Fragen; Hi ! Vielleicht kann mir jemand einen Tipp zu folgendem Problem geben: Ich habe einen VPN-Endpoint (Sophos-UTM), der L2TP-Verbindungen...
M

MSCom

Neuer Benutzer
Threadstarter
Dabei seit
20.09.2016
Beiträge
1
Hi !
Vielleicht kann mir jemand einen Tipp zu folgendem Problem geben:

Ich habe einen VPN-Endpoint (Sophos-UTM), der L2TP-Verbindungen entgegennimmt.
Diese L2TP-Verbindungen gehen von Windows 7-10 Clients aus und werden über den Windows-eigenen L2TP-Client initialisiert.
Die Verbindung wird per GPO ausgerollt: L2TP mit Zertifikat (Attribute überprüfen), maximale Verschlüsselung, MS-CHAPv2 mit Domänendaten.
Die Computerzertifikate beziehen die Clients über Auto-Enrollment.

Funktioniert so weit auf den meisten Rechnern.

Nun gibt es aber ein paar Rechner, die im Zertifikatsspeicher: lokaler Computer: Eigene Zertifikate mehr als nur ein Zertifikat haben (durch Drittanbietertools für TPM, Fingerprint, ...)

Einige Clients präsentieren nun beim VPN-Aufbau das korrekte Client-Zertifikat und alles läuft.
Andere Clients aber (in diesem Fall Windows 10) präsentieren das "falsche" Client-Zertifikat für die VPN-Verbindung (z.B. CN=127.0.0.1), womit der RAS-Gateway natürlich nichts anfangen kann und die Verbindung somit ablehnt.

Das Client-Zertifikat hat als beabsichtigten Zweck: Serverauthentifizierung, Clientauthentifizierung und
das Drittanbieterzertifikat hat als beabsichtigten Zweck: Serverauthentifizierung

Meine Frage nun:
Wie kann ich beeinflussen, welches Zertifikat präsentiert wird ?
Bei einigen Clients funktioniert es ja und es sind keine offensichtlichen Konfigurationsunterschiede ersichtlich.

Vielen Dank im Voraus,
M.
 
Thema:

zertifikatsbasiertes Windows-L2TP-VPN: Client präsentiert falsches Computer-Zertifikat

Oben