non, le certificat n'a rien à voir avec kerberos.
il faut que tu fournisses un certificat à l'ordinateur qui se connecte via l2tp/ipsec.
cela se fait via le serveur IIS.
tu dois pour cela d'abord le connecter en réseau local direct au domaine avent de le faire via le vpn.
mais tu pourrais aussi travailler en clés partagées au lieu du certificat, il faut configurer le serveur vpn pour cela.
bonne lecture:
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/20021121_vpnclnta.html