おうちの Let’s encrypt 証明書を仕込んだ IKEv2 VPN サーバーですが、5月頃から何故だが急に上記エラーで Windows 10 からつながらなくなりました。やっと解決できたので、同じ問題で困っている同志のために情報公開致します。
サーバーは StrongSwan、クライアントは Windows 標準 VPN で IKEv2 ユーザー名・パスワード方式。Windows がつながらなくなっても iPhone はつながるのです。さんざん StrongSwan の方の設定を見直してもわかりません。Error 13801 ですので、certlm.msc で Windows のルート証明書を調べ直してみると、DST Root CA X3 はちゃんと入っています。
これで良いはずなのですが、でももしやと思い、ISRG Root X1 を入れてみました。
こちらをダウンロードしてきて、拡張子を .pem.txt から .crt に変更します。すると証明書と認識されるようになるので、ダブルクリックして開きます。
開くと、証明書のインストールを促されます。
システムワイドに行きたいので、ローカルコンピューターを選びます。
君に任せた。
インストールに成功すると、またつながるようになりました!
できてみると、あっけない。
結論:Let’s encrypt fullchain.pem の認証には現時点でもすでに ISRG Root X1 が必要。一般に2021年9月29日までは DST Root CA X3 が有効と言われているようなのだが。
コメント