[решено] SSL VPN на Windows server с самозаверенным сертификатом

[LEO]

Давно хочу поднять у себя SSL VPN на Server 2008 (не R2).
Гугль выдает несколько статей, но везде используются нормальные сертификаты.

У меня сервер не является доменом, и ничего "доменного" на нем не настроено. Настроено RRAS на раздачу инета в домашнюю локалку и получилось настроить PPTP VPN. В инете пишут, что установить сертификат надо строго до установки роли RRAS, иначе потом будут проблемы, какие именно и как их решить я тоже не нашел.

Но, подозреваю, для самого SSL VPN не нужно быть доменом.
Вопрос в следующем: как создать самозаверенный сертификат и установить его, чтобы поднять SSL VPN?
К компу подключаюсь по DynDns имени.

Так же буду очень благодарен за ссылки на тематические форумы, где могут помочь.

[LEO]

конечно же я плохо искал. в другой раз нашел все ответы за несколько минут. Отпишусь, если кому-то понадобится, может кто-то через гугель сюда взбредет

 http://artisticcheese.blogspot.co.uk/2009/04/instructions-how-to-enable-sstp-vpn-s.html
Instructions how to enable SSTP VPN server in Windows 2008 simplified

Здесь в двух строчках и по сути. Нужно просто сгенерить "правильный" сертификат и ипортировать его в хранилище на клиент и сервер.
Там дается ссылка на программу с кнопкой, которая все это делает. Но блог переехал, а программа обновилась. Новый адрес
http://blog.pluralsight.com/2012/02/13/selfcert-create-a-self-signed-certificate-interactively-gui-or-programmatically-in-net/
SelfCert: Create a Self-Signed Certificate Interactively (GUI) or Programmatically in .NET

Ну и, наконец, о привязке сертификата к серверу RRAS: если RRAS устанавливался до того, как был импортирован сертификат, то так просто он его не увидит.
http://blogs.technet.com/b/rrasblog/archive/2007/10/04/how-to-change-the-machine-certificate-of-sstp-based-rras-server.aspx
How to change the machine certificate of SSTP based RRAS server

тут приводятся команды чтобы посмотреть текущие привязки, удалить их и создать новые, только последнее мне и было нужно.
единственное, что при первом знакомстве мне не было сразу понято, это где взять значение параметра certhash имя хранилища.
Путем тыка оказалось, что если "открыть" сертификат в хранилище, то там отображается две строки с шестнадцатеричными цифрами "серийный номер" и "отпечаток". Надо скопировать одну из них, удалить пробелы - это и есть значение параметра certhash для команды. Какую именно строку брать - "серийный номер" или "отпечаток" я уже не помню, по названию больше подходит "отпечаток", но хз, попробуйте оба.
И что касается имени хранилища, они используют "MY". Попробовав пару вариантов совершенно наугад, я подобрал имя для папки с корневыми сертификатами - "root".

Сразу отмечу, что на клиенте после подключения к этой сети у меня отваливались все другие соединения. Вылечилось просто - в свойствах соединения на вкладке "Сеть" для TCP\IP в "дополнительно" я снял галочку "использовать шлюз" и заодно вручную поставил метрику вдвое большую, чем была у обычных маршрутов (без vpn подключения) в выводе route print.