Impossibile connettersi alla VPN SSTP - Impossibile verificare la revoca perché il server di revoca era offline

Ho provato a configurare una VPN SSTP sul mio server SBS 2011 e ho lottato contro i problemi di certificazione per tutto il tempo. Sono stato in grado di generare un nuovo certificato per il mio indirizzo VPN esterno, importarlo nel mio computer client e ho aggiunto il mio server come autorità di certificazione affidabile. Ora ricevo l'errore:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Quando ho controllato i punti di distribuzione CRL sul certificato ho visto che gli unici URL erano al mio indirizzo interno, quindi ne ho aggiunto un altro che punta al mio indirizzo esterno (lasciando intatti gli URL interni originali). Ho generato un nuovo certificato, cancellato quello esistente dal mio client e importato quello nuovo, riavviato RRAS e verificato che SSTP stava usando il mio nuovo certificato ma sto ancora ottenendo lo stesso errore.

Quando visualizzo i dettagli del certificato che ho importato, vedo che il nuovo CDP esterno appare nell'elenco (qualcosa che ha l'effetto di http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Quando lo inserisco in un browser web ricevo un messaggio che dice che l'importazione CRL è andata a buon fine, che mi fa sapere che l'URL è accessibile dall'esterno ed è online.

Sento che questa è l'ultima fermata tra me e una VPN protetta, cosa mi sto perdendo qui?

— mclark1129
fonte

Sono stato in grado di disabilitare il controllo di revoca utilizzando il registro, ma questa è solo una soluzione temporanea per dimostrare che la mia connessione VPN funzionerà. Ora, fintanto che

— riuscirò a

A parte lanciare il controllo di revoca (non lasciarlo così) quali altri cambiamenti o differenze ci sono? Ad esempio, forse la sessione VPN deve essere configurata per raggiungere l'URL CRL? Forse stai usando HTTP Auth e c'è una sessione attiva con il server che non è attiva per il processo di recupero CRL?

— Ram

Sono in grado di scaricare il CRL standard direttamente dal certificato e incollarlo in un browser. Quando guardo lo snap-in Enterprise PKI nella gestione del server vedo diversi errori nel tentativo di scaricare il mio CRL delta (MYSERVER-CA + .crl) Non riesco ad accedere a quell'URL dal browser, ma il file stesso ESISTE nel virtuale CertEnroll directory. Non sono sicuro se ci sono alcuni problemi con le autorizzazioni dei file che ne impediscono l'accesso da IIS.

— mclark1129,

Gli errori "Impossibile scaricare" sono anche per i miei indirizzi interni (ad es. Server / CertEnroll / MYSERVER-CA + .crl ) Sono in grado di accedere al normale URL CRL dal mio browser utilizzando l'indirizzo esterno senza connessione VPN richiesta.

— mclark1129,

Per fortuna, ho continuato a ricercare il problema del delta CRL e ho scoperto che per impostazione predefinita IIS non consente il doppio escape (il che significa che il segno + nel nome delta CRL non poteva essere risolto). Una volta abilitato, non sono riuscito a scaricare gli errori eliminati e ora posso collegarmi alla mia VPN SSTP con il controllo di revoca abilitato! blogs.technet.com/b/lrobins/archive/2008/12/29/…

— mclark1129

Il problema era che non ero in grado di accedere al file Delta CRL tramite IIS 7. Ciò era dovuto al segno "+" nel nome del file MYSERVER-CA + .crl. Per impostazione predefinita, IIS 7 imposta la proprietà allowDoubleEscaping su False e questo deve essere abilitato affinché IIS possa pubblicare questo file.

In IIS7, sono entrato nel sito Web predefinito, sono passato alla directory virtuale CertEnroll e ho abilitato la proprietà nell'editor di configurazione. Di seguito è riportato un collegamento per impostare questo tramite una riga di comando:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Una volta fatto questo, il mio problema è stato finalmente risolto!

— mclark1129
fonte