Es kann keine Verbindung zu SSTP VPN hergestellt werden - Der Widerruf kann nicht überprüft werden, da der Widerrufsserver offline war

8

Ich habe versucht, ein SSTP-VPN für meinen SBS 2011-Server einzurichten, und habe die ganze Zeit über Probleme mit Zertifikaten bekämpft. Ich konnte ein neues Zertifikat für meine externe VPN-Adresse generieren, es in meinen Clientcomputer importieren und meinen Server als vertrauenswürdige Zertifizierungsstelle hinzufügen. Jetzt bekomme ich den Fehler:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Als ich die CRL-Verteilungspunkte auf dem Zertifikat überprüfte, stellte ich fest, dass die einzigen URLs auf meine interne Adresse verweisen. Daher fügte ich eine weitere hinzu, die auf meine externe Adresse verweist (wobei die ursprünglichen internen URLs intakt blieben). Ich habe ein neues Zertifikat generiert, das vorhandene von meinem Client gelöscht und das neue importiert, RRAS neu gestartet und überprüft, ob SSTP mein neues Zertifikat verwendet, aber ich erhalte immer noch den gleichen Fehler.

Wenn ich die Details des von mir importierten Zertifikats ansehe, wird das neue externe CDP in der Liste angezeigt (etwas mit dem Effekt von http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Wenn ich das in einen Webbrowser stecke, erhalte ich die Meldung, dass der CRL-Import erfolgreich war, wodurch ich weiß, dass die URL von außen zugänglich und online ist.

Ich denke, dies ist die letzte Station zwischen mir und einem gesicherten VPN. Was vermisse ich hier?

mclark1129
quelle
Ich konnte die Sperrprüfung über die Registrierung deaktivieren, dies ist jedoch nur eine vorübergehende Lösung, um zu beweisen, dass meine VPN-Verbindung funktioniert. Jetzt, solange ich dieses CRL-Problem herausfinden kann, muss ich meine Benutzer nicht mehr bitten, ihre Register zu ändern. Schauder :)
mclark1129
Abgesehen davon, dass das Widerrufen des Widerrufs deaktiviert ist (lassen Sie es nicht so), welche anderen Änderungen oder Unterschiede gibt es? Zum Beispiel muss möglicherweise die VPN-Sitzung eingerichtet werden, damit Sie diese CRL-URL erreichen können? Möglicherweise verwenden Sie HTTP Auth und es gibt eine aktive Sitzung mit dem Server, die für den CRL-Abrufprozess nicht aktiv ist?
Ram
Ich kann die Standard-CRL direkt vom Zertifikat herunterladen und in einen Browser einfügen. Wenn ich mir das Enterprise PKI-Snap-In in der Serververwaltung anschaue, werden beim Herunterladen meiner Delta-CRL (MYSERVER-CA + .crl) mehrere Fehler angezeigt. Ich kann nicht über den Browser auf diese URL zugreifen, aber die Datei selbst ist in CertEnroll virtual vorhanden Verzeichnis. Ich bin nicht sicher, ob es Probleme mit Dateiberechtigungen gibt, die verhindern, dass über IIS darauf zugegriffen werden kann.
mclark1129
Die Fehler "Herunterladen nicht möglich" gelten auch für meine internen Adressen (z. B. Server / CertEnroll / MYSERVER-CA + .crl ). Ich kann von meinem Browser aus über die externe Adresse auf die reguläre CRL-URL zugreifen, ohne dass eine VPN-Verbindung erforderlich ist.
mclark1129
Glücklicherweise habe ich das Delta-CRL-Problem weiter untersucht und festgestellt, dass IIS standardmäßig kein doppeltes Escapezeichen zulässt (was bedeutet, dass das + -Zeichen im Delta-CRL-Namen nicht behoben werden konnte). Sobald ich es aktiviert habe, wurden die Fehler beim Herunterladen behoben und ich kann jetzt mit aktivierter Sperrprüfung eine Verbindung zu meinem SSTP-VPN herstellen! blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Antworten:

6

Das Problem war, dass ich über IIS 7 nicht auf die Delta-CRL-Datei zugreifen konnte. Dies lag am '+' - Zeichen im Dateinamen MYSERVER-CA + .crl. Standardmäßig setzt IIS 7 die Eigenschaft allowDoubleEscaping auf False. Diese muss aktiviert sein, damit IIS diese Datei bereitstellen kann.

In IIS7 habe ich die Standardwebsite aufgerufen, zum virtuellen CertEnroll-Verzeichnis navigiert und die Eigenschaft für den Konfigurationseditor aktiviert. Unten finden Sie einen Link, um dies über eine Befehlszeile festzulegen:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Nachdem ich dies getan hatte, war mein Problem endlich gelöst!

mclark1129
quelle