質問
VPN Server で MS-SSTP 互換サーバー機能を使用し、Windows Vista / 7 / 8 の PC からのビルトイン VPN クライアントを用いた SSL-VPN 接続を構築しようと試みています。しかし、証明書エラーが発生してしまいます。どのような点を確認すれば良いですか ?
回答
MS-SSTP は大変優れた VPN プロトコルですが、クライアント側の Windows の証明書検査がとても厳格であるため、うまく動作するようになるまでは少しの労力が必要になるかも知れません。
まず、証明書は自己署名証明書か商用 CA の証明書のいずれかを使用することになります。お勧めは商用 CA の証明書です。これは VeriSign などから安価に購入することができる Web サーバー用の証明書で問題ありません。商用 CA の証明書を購入するときは、Common Name (CN) の値に、VPN サーバーのコンピュータのインターネット側からアクセス可能なホスト名 (DNS の FQDN) を指定することを忘れないでください。CN とホスト名が異なる場合は、Windows のビルトイン VPN クライアントで証明書エラーが発生してしまいます。
一方、自己署名証明書は無償で使用できますが、当該証明書をすべての Windows クライアントの「コンピュータの証明書ストア」の「信頼できるルート証明機関」に手動で追加しなければならないという問題があります。これには MMC (Microsoft Management Console) の「証明書」アプレットを使用する必要があります。この操作方法は少し難しいですから覚悟してください。
自己署名証明書の場合であっても、Common Name (CN) の値に、VPN サーバーのコンピュータのインターネット側からアクセス可能なホスト名 (DNS の FQDN) を指定することを忘れないでください。意図しているホスト名と現在の自己署名証明書の CN の値が異なる場合は、証明書を再作成する必要があります。VPN サーバー管理マネージャを用いている場合は、CN を指定した自己署名証明書の再作成は GUI 上から可能です。
商用 CA を用いる場合において、中間証明書が必要な場合は、VPNFAQ026 に従い、中間証明書を必ず VPN Server にインストールしてください。そのようにしなければ、クライアントの Windows でエラーが発生する場合があります。
