Tidak dapat terhubung ke SSTP VPN - Tidak dapat memeriksa pencabutan karena server pencabutan sedang offline

8

Saya telah mencoba mengatur SSTP VPN ke server SBS 2011 saya dan telah berjuang mengatasi masalah sertifikat secara keseluruhan. Saya dapat membuat sertifikat baru untuk alamat vpn eksternal saya, mengimpornya ke mesin klien saya, dan menambahkan server saya sebagai Otoritas Sertifikasi Tepercaya. Sekarang saya mendapatkan kesalahan:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Ketika saya memeriksa titik distribusi CRL pada sertifikat, saya melihat bahwa satu-satunya url adalah ke alamat internal saya, jadi saya menambahkan satu lagi yang menunjuk ke alamat eksternal saya (membiarkan url internal asli tetap utuh). Saya membuat sertifikat baru, menghapus yang sudah ada dari klien saya dan mengimpor yang baru, dan memulai kembali RRAS dan memverifikasi bahwa SSTP menggunakan sertifikat baru saya, tetapi saya masih mendapatkan kesalahan yang sama.

Ketika saya melihat rincian sertifikat yang saya impor, saya melihat bahwa CDP eksternal baru muncul dalam daftar (sesuatu yang berlaku pada http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Ketika saya meletakkannya di browser web saya mendapat pesan yang mengatakan impor CRL berhasil, yang membuat saya tahu bahwa URL dapat diakses dari luar dan sedang online.

Saya merasa ini adalah perhentian terakhir antara saya dan VPN yang aman, apa yang saya lewatkan di sini?

mclark1129
sumber
Saya dapat menonaktifkan pemeriksaan pencabutan menggunakan registri, tetapi ini hanya solusi sementara untuk membuktikan bahwa koneksi VPN saya akan berfungsi. Sekarang saya selama saya bisa mencari tahu masalah CRL ini saya tidak perlu meminta pengguna saya untuk memodifikasi
registrasi
Selain membalik pembatalan pencabutan (jangan biarkan seperti itu) perubahan atau perbedaan apa yang ada? Misalnya mungkin sesi VPN harus diatur agar Anda dapat mencapai URL CRL itu? Mungkin Anda menggunakan HTTP Auth dan ada sesi aktif dengan server yang tidak aktif untuk proses pengambilan CRL?
Ram
Saya dapat mengunduh CRL standar langsung dari sertifikat dan menempelkannya ke browser. Ketika saya melihat snap-in Enterprise PKI dalam manajemen server, saya melihat beberapa kesalahan ketika mencoba mengunduh CRL delta saya (MYSERVER-CA + .crl). Saya tidak dapat mengakses URL itu dari browser, tetapi file itu sendiri TIDAK ada dalam virtual CertEnroll. direktori. Saya tidak yakin apakah ada beberapa masalah izin file yang mencegahnya diakses dari IIS.
mclark1129
Kesalahan, "Tidak Dapat Mengunduh" bahkan untuk alamat internal saya (mis. Server / CertEnroll / MYSERVER-CA + .crl ) Saya dapat mengakses URL CRL reguler dari browser saya menggunakan alamat eksternal tanpa memerlukan koneksi VPN.
mclark1129
Seperti keberuntungan, saya terus meneliti masalah delta CRL dan menemukan bahwa secara default IIS tidak memungkinkan pelarian ganda (yang berarti tanda + pada nama delta CRL tidak dapat diselesaikan). Setelah saya mengaktifkannya, saya tidak dapat mengunduh kesalahan dihapus dan sekarang saya dapat terhubung ke VPN SSTP saya dengan pemeriksaan pencabutan diaktifkan! blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Jawaban:

6

Masalahnya adalah bahwa saya tidak dapat mengakses file Delta CRL melalui IIS 7. Ini karena tanda '+' pada nama file MYSERVER-CA + .crl. Secara default IIS 7 menetapkan properti allowDoubleEscaping ke False, dan ini harus diaktifkan agar IIS dapat menyajikan file ini.

Di IIS7, saya pergi ke Situs Web Default, menavigasi ke direktori virtual CertEnroll dan mengaktifkan properti ke editor konfigurasi. Di bawah ini adalah tautan untuk mengatur ini melalui baris perintah:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Setelah saya melakukan ini, masalah saya akhirnya terselesaikan!

mclark1129
sumber