Impossible de se connecter au VPN SSTP - Impossible de vérifier la révocation car le serveur de révocation était hors ligne

8

J'ai essayé de configurer un VPN SSTP sur mon serveur SBS 2011 et je me suis battu contre des problèmes de certificat tout au long du processus. J'ai pu générer un nouveau certificat pour mon adresse VPN externe, l'importer sur ma machine cliente et ajouter mon serveur en tant qu'autorité de certification de confiance. Maintenant, je reçois l'erreur:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Lorsque j'ai vérifié les points de distribution CRL sur le certificat, j'ai vu que les seules URL étaient vers mon adresse interne, j'ai donc ajouté une autre qui pointe vers mon adresse externe (en laissant les URL internes d'origine intactes). J'ai généré un nouveau certificat, supprimé celui existant de mon client et importé le nouveau, et redémarré RRAS et vérifié que SSTP utilisait mon nouveau certificat mais j'obtiens toujours la même erreur.

Quand je vois les détails du certificat que j'ai importé, je vois que le nouveau CDP externe apparaît dans la liste (quelque chose à l'effet de http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Lorsque je mets cela dans un navigateur Web, je reçois un message indiquant que l'importation de la liste de révocation de certificats a réussi, ce qui me permet de savoir que l'URL est accessible de l'extérieur et est en ligne.

J'ai l'impression que c'est le dernier arrêt entre moi et un VPN sécurisé, que me manque-t-il ici?

mclark1129
la source
J'ai pu désactiver la vérification de révocation à l'aide du registre, mais ce n'est qu'une solution temporaire pour prouver que ma connexion VPN fonctionnera. Maintenant , je aussi longtemps que je peux comprendre ce problème de LCR Je ne vais pas demander à mes utilisateurs de modifier leurs registres frissonner :)
mclark1129
Mis à part retourner la vérification de la révocation (ne le laissez pas de cette façon), quels sont les autres changements ou différences? Par exemple, peut-être que la session VPN doit être configurée pour que vous atteigniez cette URL CRL? Peut-être que vous utilisez HTTP Auth et qu'il y a une session active avec le serveur qui n'est pas active pour le processus de récupération CRL?
Ram
Je peux télécharger la CRL standard directement à partir du certificat et la coller dans un navigateur. Lorsque je regarde dans le composant logiciel enfichable PKI d'entreprise dans la gestion du serveur, je vois plusieurs erreurs essayant de télécharger ma liste de révocation de certificats delta (MYSERVER-CA + .crl) Je ne peux pas accéder à cette URL à partir du navigateur, mais le fichier lui-même existe dans le virtuel CertEnroll annuaire. Je ne sais pas s'il existe des problèmes d'autorisations de fichiers qui l'empêchent d'être accessible à partir d'IIS.
mclark1129
Les erreurs, "Impossible de télécharger" sont même pour mes adresses internes (par exemple serveur / CertEnroll / MYSERVER-CA + .crl ) Je peux accéder à l'URL CRL régulière à partir de mon navigateur en utilisant l'adresse externe sans connexion VPN requise.
mclark1129
Par chance, j'ai continué à rechercher le problème delta CRL et j'ai constaté que par défaut IIS ne permettait pas le double échappement (ce qui signifie que le signe + dans le nom delta CRL ne pouvait pas être résolu). Une fois que je l'ai activé, je n'ai pas pu télécharger les erreurs éliminées et je peux maintenant me connecter à mon VPN SSTP avec la vérification de révocation activée! blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Réponses:

6

Le problème était que je n'ai pas pu accéder au fichier Delta CRL via IIS 7. Cela était dû au signe «+» dans le nom de fichier MYSERVER-CA + .crl. Par défaut, IIS 7 définit la propriété allowDoubleEscaping sur False, et cela doit être activé pour qu'IIS puisse servir ce fichier.

Dans IIS7, je suis allé sur le site Web par défaut, j'ai accédé au répertoire virtuel CertEnroll et j'ai activé la propriété dans l'éditeur de configuration. Vous trouverez ci-dessous un lien pour définir cela via une ligne de commande:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Une fois que j'ai fait cela, mon problème a finalement été résolu!

mclark1129
la source