Não é possível conectar-se à VPN SSTP - Não foi possível verificar a revogação porque o servidor de revogação estava offline

8

Eu tenho tentado configurar uma VPN SSTP para o meu servidor SBS 2011 e tenho lutado contra problemas de certificado o tempo todo. Consegui gerar um novo certificado para o meu endereço vpn externo, importá-lo para minha máquina cliente e adicionei meu servidor como uma Autoridade de Certificação Confiável. Agora eu recebo o erro:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Quando verifiquei os pontos de distribuição da CRL no certificado, vi que os únicos URLs estavam no meu endereço interno, então adicionei outro que aponta para o meu endereço externo (deixando intactos os URLs internos originais). Gerei um novo certificado, excluí o existente do meu cliente e importei o novo, reiniciei o RRAS e verifiquei que o SSTP estava usando meu novo certificado, mas ainda estou recebendo o mesmo erro.

Quando visualizo os detalhes do certificado que importei, vejo que o novo CDP externo aparece na lista (algo semelhante ao http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Quando coloco isso em um navegador da Web, recebo uma mensagem informando que a importação da CRL foi bem-sucedida, o que me informa que a URL é acessível externamente e está online.

Sinto que esta é a última parada entre mim e uma VPN segura, o que estou perdendo aqui?

windows-server-2008 vpn ssl windows-sbs-2011 mclark1129
fonte
Consegui desativar a verificação de revogação usando o registro, mas esta é apenas uma solução temporária para provar que minha conexão VPN funcionará. Agora eu contanto que eu possa descobrir este problema CRL não vou ter que perguntar aos meus usuários modificar seus registros estremecimento :)
mclark1129
Além de ativar a revogação, marque (não deixe assim) que outras mudanças ou diferenças existem? Por exemplo, talvez a sessão da VPN precise ser configurada para que você alcance o URL da CRL? Talvez você esteja usando a autenticação HTTP e haja uma sessão ativa com o servidor que não esteja ativa para o processo de recuperação da CRL?
Ram
Consigo baixar a CRL padrão diretamente do certificado e colá-la em um navegador. Quando olho para o snap-in Enterprise PKI no gerenciamento de servidores, vejo vários erros ao fazer o download da minha CRL delta (MYSERVER-CA + .crl). Não consigo acessar esse URL no navegador, mas o próprio arquivo EXISTE no virtual virtual CertEnroll diretório. Não tenho certeza se há alguns problemas de permissão de arquivo impedindo que ele seja acessível no IIS.
precisa saber é o seguinte
Os erros "Não é possível fazer o download" são válidos para meus endereços internos (por exemplo, servidor / CertEnroll / MYSERVER-CA + .crl ). Posso acessar a URL CRL normal do meu navegador usando o endereço externo sem a necessidade de conexão VPN.
precisa saber é o seguinte
Por sorte, continuei pesquisando o problema da CRL delta e descobri que, por padrão, o IIS não permite escape duplo (o que significa que o sinal + no nome da CRL delta não pôde ser resolvido). Uma vez ativado, o incapaz de baixar os erros foi resolvido e agora posso me conectar à minha VPN SSTP com a verificação de revogação ativada! blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Respostas:

6

O problema foi que não consegui acessar o arquivo Delta CRL através do IIS 7. Isso ocorreu devido ao sinal '+' no nome do arquivo MYSERVER-CA + .crl. Por padrão, o IIS 7 define a propriedade allowDoubleEscaping como False, e isso deve estar ativado para que o IIS possa servir esse arquivo.

No IIS7, entrei no site padrão, naveguei para o diretório virtual CertEnroll e habilitei a propriedade para o editor de configuração. Abaixo está um link para definir isso por meio de uma linha de comando:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Depois que fiz isso, meu problema foi finalmente resolvido!

mclark1129
fonte