Не удается подключиться к SSTP VPN. Невозможно проверить отзыв, поскольку сервер отзыва отключен.

8

Я пытался настроить SSTP VPN для моего сервера SBS 2011 и всю жизнь боролся с проблемами с сертификатами. Я смог сгенерировать новый сертификат для моего внешнего vpn-адреса, импортировать его на свой клиентский компьютер и добавить свой сервер в качестве доверенного центра сертификации. Теперь я получаю ошибку:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Когда я проверил точки распространения CRL на сертификате, я увидел, что единственные URL были на мой внутренний адрес, поэтому я добавил еще один, который указывает на мой внешний адрес (оставив исходные внутренние URL без изменений). Я сгенерировал новый сертификат, удалил существующий из моего клиента и импортировал новый, перезапустил RRAS и убедился, что SSTP использует мой новый сертификат, но я все еще получаю ту же ошибку.

Когда я просматриваю детали сертификата, который я импортировал, я вижу, что новый внешний CDP появляется в списке (что-то вроде http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Когда я помещаю это в веб-браузер, я получаю сообщение о том, что импорт CRL был успешным, что позволяет мне узнать, что URL доступен извне и находится в сети.

Я чувствую, что это последняя остановка между мной и защищенным VPN, что мне здесь не хватает?

windows-server-2008 vpn ssl windows-sbs-2011 mclark1129
источник
Мне удалось отключить проверку отзыва с помощью реестра, но это только временное решение, чтобы доказать, что мое VPN-соединение будет работать. Теперь я до тех пор , как я могу понять эту проблему CRL не придется просить моих пользователей , чтобы изменить их реестрах содрогнуться :)
mclark1129
Помимо проверки отмены отзыва (не оставляйте это так), какие есть другие изменения или различия? Например, может быть, необходимо настроить сеанс VPN, чтобы вы достигли этого CRL URL? Возможно, вы используете HTTP Auth, и существует активный сеанс с сервером, который не активен для процесса получения CRL?
Рам
Я могу загрузить стандартный CRL прямо из сертификата и вставить его в браузер. Когда я смотрю на оснастку Enterprise PKI в управлении сервером, я вижу несколько ошибок при попытке загрузить мой дельта-CRL (MYSERVER-CA + .crl). Я не могу получить доступ к этому URL-адресу из браузера, но сам файл существует в виртуальном CertEnroll каталог. Я не уверен, что есть какие-то проблемы с правами доступа к файлам, которые мешают ему быть доступным из IIS.
mclark1129
Ошибки «Невозможно загрузить» относятся даже к моим внутренним адресам (например, server / CertEnroll / MYSERVER-CA + .crl ). Я могу получить доступ к обычному URL-адресу CRL из моего браузера, используя внешний адрес без подключения к VPN.
mclark1129
К счастью, я продолжил исследовать проблему дельта-CRL и обнаружил, что по умолчанию IIS не допускает двойного экранирования (что означает, что знак + в имени дельта-CRL не может быть разрешен). После того, как я включил его, я не смог загрузить ошибки, и теперь я могу подключиться к своему SSTP VPN с включенной проверкой отзыва! blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Ответы:

6

Проблема заключалась в том, что мне не удалось получить доступ к файлу Delta CRL через IIS 7. Это было связано со знаком «+» в имени файла MYSERVER-CA + .crl. По умолчанию IIS 7 устанавливает для свойства allowDoubleEscaping значение False, и это необходимо включить, чтобы IIS мог обслуживать этот файл.

В IIS7 я зашел на веб-сайт по умолчанию, перешел в виртуальный каталог CertEnroll и включил свойство в редактор конфигурации. Ниже приведена ссылка для установки этого через командную строку:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Как только я сделал это, моя проблема была наконец решена!

mclark1129
источник