私はSBS 2011サーバーにSSTP VPNをセットアップしようと試みており、証明書の問題とずっと闘っています。外部VPNアドレスの新しい証明書を生成し、それをクライアントマシンにインポートして、サーバーを信頼できる証明機関として追加できました。今私はエラーを受け取ります:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
証明書でCRL配布ポイントを確認したところ、URLが内部アドレスのみであることがわかりました。そのため、外部アドレスを指す別のURLを追加しました(元の内部URLはそのままにしておきます)。新しい証明書を生成し、クライアントから既存の証明書を削除してインポートし、RRASを再起動して、SSTPが新しい証明書を使用していることを確認しましたが、それでも同じエラーが発生します。
インポートした証明書の詳細を表示すると、新しい外部CDPがリストに表示されていることがわかります(http://mydomain.com/CertEnroll/MYSERVER-CA.crlの影響によるもの)。これをWebブラウザーに入力すると、CRLのインポートが成功したというメッセージが表示され、URLが外部からアクセス可能であり、オンラインになっていることがわかります。
これは私と安全なVPNの間の最後のストップのようですが、ここで何が欠けていますか?
レジストリを使用して失効チェックを無効にすることができましたが、これは私のVPN接続が機能することを証明するための一時的な解決策にすぎません。今、私限り、私は自分のレジストリを修正するために私のユーザーに依頼する必要はありません、このCRLの問題を把握することが可能と身震いを :)
—
mclark1129
失効チェックをオフにする(そのようにしないでください)以外に、他にどのような変更や違いがありますか?たとえば、おそらくそのCRL URLに到達するために、VPNセッションをセットアップする必要がありますか?おそらく、HTTP認証を使用していて、CRL取得プロセスに対してアクティブではないサーバーとのアクティブなセッションがありますか?
—
Ram
証明書から標準CRLを直接ダウンロードして、ブラウザーに貼り付けることができます。サーバー管理でエンタープライズPKIスナップインを見ると、Delta CRL(MYSERVER-CA + .crl)をダウンロードしようとするといくつかのエラーが表示されますが、ブラウザーからそのURLにアクセスできませんが、ファイル自体はCertEnroll仮想に存在しますディレクトリ。IISからアクセスできないようにするファイルアクセス許可の問題があるかどうかはわかりません。
—
mclark1129 2011
「ダウンロードできません」というエラーは、内部アドレス(例:server / CertEnroll / MYSERVER-CA + .crl)でも発生します。VPN接続が不要な外部アドレスを使用して、ブラウザーから通常のCRL URLにアクセスできます。
—
mclark1129 2011
運が良かったので、私はDelta CRLの問題を調査し続けたところ、デフォルトではIISがダブルエスケープを許可していないことがわかりました(つまり、Delta CRL名の+記号を解決できませんでした)。有効にすると、ダウンロードできないエラーが解消され、失効チェックを有効にしてSSTP VPNに接続できるようになりました。 blogs.technet.com/b/lrobins/archive/2008/12/29/…– mclark1129 '09
—
09/29