Ich habe versucht, ein SSTP-VPN für meinen SBS 2011-Server einzurichten, und habe die ganze Zeit über Probleme mit Zertifikaten bekämpft. Ich konnte ein neues Zertifikat für meine externe VPN-Adresse generieren, es in meinen Clientcomputer importieren und meinen Server als vertrauenswürdige Zertifizierungsstelle hinzufügen. Jetzt bekomme ich den Fehler:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
Als ich die CRL-Verteilungspunkte auf dem Zertifikat überprüfte, stellte ich fest, dass die einzigen URLs auf meine interne Adresse verweisen. Daher fügte ich eine weitere hinzu, die auf meine externe Adresse verweist (wobei die ursprünglichen internen URLs intakt blieben). Ich habe ein neues Zertifikat generiert, das vorhandene von meinem Client gelöscht und das neue importiert, RRAS neu gestartet und überprüft, ob SSTP mein neues Zertifikat verwendet, aber ich erhalte immer noch den gleichen Fehler.
Wenn ich die Details des von mir importierten Zertifikats ansehe, wird das neue externe CDP in der Liste angezeigt (etwas mit dem Effekt von http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Wenn ich das in einen Webbrowser stecke, erhalte ich die Meldung, dass der CRL-Import erfolgreich war, wodurch ich weiß, dass die URL von außen zugänglich und online ist.
Ich denke, dies ist die letzte Station zwischen mir und einem gesicherten VPN. Was vermisse ich hier?
quelle
Antworten:
Das Problem war, dass ich über IIS 7 nicht auf die Delta-CRL-Datei zugreifen konnte. Dies lag am '+' - Zeichen im Dateinamen MYSERVER-CA + .crl. Standardmäßig setzt IIS 7 die Eigenschaft allowDoubleEscaping auf False. Diese muss aktiviert sein, damit IIS diese Datei bereitstellen kann.
In IIS7 habe ich die Standardwebsite aufgerufen, zum virtuellen CertEnroll-Verzeichnis navigiert und die Eigenschaft für den Konfigurationseditor aktiviert. Unten finden Sie einen Link, um dies über eine Befehlszeile festzulegen:
http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx
Nachdem ich dies getan hatte, war mein Problem endlich gelöst!
quelle