Salut à tous
J’ai récemment été confronté à un bug assez étrange lorsque j’ai essayé d’établir une connexion VPN L2TP / IPSEC.
Mon architecture côté serveur était la suivante :
* Un contrôleur de domaine Windows 2008 avec une autorité de certification racine d’entreprise.
* Un serveur ISA Server 2006 SP1 avec deux cartes réseaux jouant le rôle de serveur VPN L2TP / IPSEC. Ce serveur disposait d’un certificat IPSEC (émis par autorité de certification racine d’entreprise) avec comme cn le FQDN de la machine (ISA2006.msreport.local dans cet exemple). Le serveur ISA était membre du domaine.
Je disposais de deux types de clients VPN :
* Des stations de travail membres du domaine. Ces machines recupéraient automatiquement un certificat IPSEC via l’autoenrollement (stratégie de groupe). Ces machines arrivaient à se connecter sans problème.
* Des stations de travail en groupe de travail. Ces machines utilisaient un certificat IPSEC Hors connexion pour se connecter au réseau VPN L2TP / IPSEC (généré à l’aide d’un serveur web de l’autorité de certification). Le certificat de l’autorité de certification avait été ajouté au conteneur “Autorités de certification racines de confiance” dans le magasin “Certificat ordinateur” et “Certificat utilisateur”. Cependant il m’était impossible de me connecter au serveur VPN L2TIP / IPSEC sur ces machines. On obtenait le message d’erreur ” Connexion à vpn.msreport.free.fr. Erreur 786 : La tentative de connexion L2TP a échoué parce qu’il n’y a pas de certificat d’ordinateur valide sur votre ordinateur pour l’authentification de sécurité”.
Etrange, car pourtant tout est OK, j’ai un certificat IPSEC, le serveur aussi et les deux certificats sont reconnus par ma machine (tout comme pour le serveur web).
En fait l’explication est cachée dans l’article Microsoft ci dessous :
http://support.microsoft.com/kb/555281/en-us
En appliquant rigoureusement l’article Microsoft, c’est à dire en générant les certificats IPSEC hors connexion sur le serveur de certificat et en faisant de l’importation / exportation de certificats entre le serveur d’autorité de certification et les machines cibles cela marche.
En fait le problème provenait du fait qu’avec le serveur web de l’autorité de certoification Windows 2008 je ne peux plus choisir de stocker mon certificat dans le magasin de certificat “Ordinateur” mais seulement dans le magasin “Utilisateur”. Tout naturellement je faisais alors un simple copier / coller ou glisser / déposer entre les deux.
Quelle terrible erreur !!!!
En fait si l’on fait cela, on a l’erreur 786. Si on fait une exportation au format PFX puis une importation comme dans la procédure cela marche !!!!!!!!! Et on peut générer son certificat depuis la machine distante, pas obligatoirement le serveur d’autorité de certification comme dans la procédure.
Si quelqu’un sait pourquoi cela fait cela. je pense que le problème provient du stockage de la clé privée mais là c’est vraiment un bug.
a+
