L2TP/IPSecで証明書認証の環境を構築したものの、やむを得ない理由により事前共有キーで構築する必要が出てきた場合、
どこを変更すれば良いかをまとめた時のメモ。
なお、証明書認証の環境は以下の手順で構築している。
■VPNサーバー
1.ルーティングとリモートアクセスサービスの変更
- ルーティングとリモートアクセス > プロパティ > セキュリティタブ
- 以下を入力
項目 | 値 |
---|---|
□カスタムIPsecポリシーをL2TP接続に許可する | チェック |
事前共有キー | <任意の値> |
2.証明書の削除
ローカルコンピュータ\個人に保管されている、CA証明書と接続用の証明書を削除
■VPNクライアント
- 証明書認証のネットワーク接続をコピー
- プロパティのうち、「セキュリティ」タブの「詳細設定」ボタンを押下
- 以下を入力
項目 | 値 |
---|---|
○認証に事前共有キーを使う | チェック |
事前共有キー | <VPNサーバーで設定した値> |
■ADCSサーバー
発行した証明書を失効させておく。
■注意点
- 事前共有キーでの接続はMicrosoftは推奨していない。
Microsoft KB281555 - Windows XP で L2TP 接続に事前共有キーを使用するための設定
- 事前共有キーが漏れた場合、全端末の事前共有キーを変更する必要がある。
- 端末の証明書が不要なため、事前共有キーとアカウントなどが漏れれば、どの端末でもアクセス可能。