Không thể kết nối với SSTP VPN - Không thể kiểm tra việc thu hồi vì máy chủ hủy bỏ ngoại tuyến


8

Tôi đã cố gắng thiết lập SSTP VPN cho máy chủ SBS 2011 của mình và đã chiến đấu với các vấn đề về chứng chỉ theo toàn bộ cách. Tôi đã có thể tạo chứng chỉ mới cho địa chỉ vpn bên ngoài của mình, nhập chứng chỉ vào máy khách của mình và thêm máy chủ của tôi làm Cơ quan chứng nhận tin cậy. Bây giờ tôi nhận được lỗi:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Khi tôi kiểm tra các điểm phân phối CRL trên chứng chỉ, tôi thấy rằng các url duy nhất là địa chỉ nội bộ của tôi, vì vậy tôi đã thêm một điểm khác trỏ đến địa chỉ bên ngoài của tôi (giữ nguyên các url bên trong). Tôi đã tạo chứng chỉ mới, xóa chứng chỉ hiện có khỏi máy khách của mình và nhập chứng chỉ mới và khởi động lại RRAS và xác minh rằng SSTP đang sử dụng chứng chỉ mới của tôi nhưng tôi vẫn gặp lỗi tương tự.

Khi tôi xem chi tiết chứng chỉ mà tôi đã nhập, tôi thấy rằng CDP bên ngoài mới xuất hiện trong danh sách (một cái gì đó có hiệu lực của http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Khi tôi đưa nó vào trình duyệt web, tôi nhận được thông báo cho biết quá trình nhập CRL đã thành công, cho tôi biết rằng URL có thể truy cập được từ bên ngoài và đang trực tuyến.

Tôi cảm thấy như đây là điểm dừng cuối cùng giữa tôi và VPN được bảo mật, tôi còn thiếu gì ở đây?


Tôi đã có thể vô hiệu hóa kiểm tra hủy bỏ bằng cách sử dụng sổ đăng ký, nhưng đây chỉ là một giải pháp tạm thời để chứng minh rằng kết nối VPN của tôi sẽ hoạt động. Bây giờ tôi miễn là tôi có thể tìm ra vấn đề CRL này, tôi sẽ không phải yêu cầu người dùng của mình sửa đổi shudder đăng ký của họ :)
mclark1129

Ngoài việc lật lại kiểm tra thu hồi (đừng để nó như vậy) có những thay đổi hoặc khác biệt nào khác không? Ví dụ: có lẽ phiên VPN phải được thiết lập để bạn có thể truy cập URL CRL đó? Có lẽ bạn đang sử dụng HTTP Auth và có một phiên hoạt động với máy chủ không hoạt động cho quá trình truy xuất CRL?
Ram

Tôi có thể tải xuống CRL tiêu chuẩn trực tiếp từ chứng chỉ và dán nó vào trình duyệt. Khi tôi tìm kiếm snap-in Enterprise PKI trong quản lý máy chủ, tôi thấy một số lỗi khi tải xuống CRL delta (MYSERVER-CA + .crl) Tôi không thể truy cập URL đó từ trình duyệt, nhưng bản thân tệp KHÔNG tồn tại trong Chứng chỉ ảo danh mục. Tôi không chắc chắn nếu có một số vấn đề về quyền truy cập tệp ngăn không cho truy cập từ IIS.
mclark1129

Các lỗi, "Không thể tải xuống" thậm chí là đối với các địa chỉ nội bộ của tôi (ví dụ: máy chủ / CertEnroll / MYSERVER-CA + .crl ) Tôi có thể truy cập URL CRL thông thường từ trình duyệt của mình bằng địa chỉ bên ngoài không cần kết nối VPN.
mclark1129

Vì may mắn, tôi đã tiếp tục nghiên cứu vấn đề CRL delta và thấy rằng mặc định IIS không cho phép thoát kép (có nghĩa là dấu + trong tên CRL delta không thể được giải quyết). Khi tôi kích hoạt, tôi không thể tải xuống các lỗi đã bị xóa và bây giờ tôi có thể kết nối với SSTP VPN của mình với tính năng kiểm tra hủy bỏ được bật! blog.technet.com/b/lrobins/archive/2008/12/29/ từ
mclark1129

Câu trả lời:


6

Vấn đề là tôi không thể truy cập tệp Delta CRL thông qua IIS 7. Điều này là do dấu '+' trong tên tệp MYSERVER-CA + .crl. Theo mặc định, IIS 7 đặt thuộc tính allowDoubleEscaping thành false và điều này phải được kích hoạt để IIS có thể phục vụ tệp này.

Trong IIS7, tôi đã vào Trang web mặc định, điều hướng đến thư mục ảo CertEnroll và kích hoạt thuộc tính cho trình soạn thảo cấu hình. Dưới đây là một liên kết để thiết lập điều này thông qua một dòng lệnh:

http://bloss.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Khi tôi đã làm điều này, vấn đề của tôi cuối cùng đã được giải quyết!

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.