0、安装一台标准证书服务器，假定计算机名为ca-server。

1、在VPN服务器上，登录http://ca-server/certsrv，单击“下载一个 CA 证书，证书链或 CRL”->“下载 CA 证书 ”，保存到一文件

2、运行MMC，添加 (本地计算机)证书模板，从 受信任的证书颁发机构，导入上一步中保存的 证书。

 

在VPN客户端上，同样运行上面1、2的步骤 。然后继续

1、登录http://ca-server/certsrv，“申请一个证书”-> 高级证书申请-> 高级证书申请，注意如下信息：

姓名： VPN客户端计算机名

需要的证书类型：“客户端身份验证证书”

密钥用法：交换

选中“标记密钥为可导出”和“将证书保存在本地计算机存储中”。

申请格式： PKCS10

好记的名称： VPN客户端计算机名

 

然后单击“提交”按钮。

返回到 标准证书服务器上，颁发证书。

在VPN客户端上，单击“主页”-> 高级证书申请，下载并安装证书

 

设置VPN客户端，设置使用L2TP即可。

 【说明】如果出现“错误786：L2TP连接尝试失败”，说明客户端 没有信任证书颁发机构或者没有申请(安装)机器证书(也叫计算机证书)。

如果出现 “协商超时”，说明 VPN服务器没有信任证书颁发机构。