大家好，我现在碰到一个VPN配置的棘手问题，想请各位帮忙指点下：

我正在为一家中型公司搭建基于IPsec/IKEv2的远程访问VPN服务器，服务器端用的是FortiGate防火墙，要求员工通过Windows原生客户端连接，并且采用证书认证的方式。

之前我折腾了好几天OpenSSL来生成所需的CA证书、服务器证书和用户证书，始终没弄出符合要求的，后来改用EasyRSA工具，跟着相关教程操作才成功搞定证书生成的环节。

之后我把证书分别部署到了对应设备上：

• Windows客户端：CA证书和用户证书都已经安装到了本地用户证书存储和计算机证书存储中
• FortiGate服务器：也正确安装了CA证书和服务器证书

接着我用命令配置了Windows原生VPN客户端，确保它的第一阶段和第二阶段连接参数和服务器端完全匹配，但现在尝试连接的时候却失败了，系统给出的错误提示是：IKE failed to find valid machine certificate.

有没有朋友遇到过类似的问题？或者能给我一些排查方向的建议吗？比如证书存储位置是否正确、证书属性是否符合要求之类的？

备注：内容来源于stack exchange，提问作者Hypnosis9616