Question Impossible de se connecter au VPN SSTP - Impossible de vérifier la révocation car le serveur de révocation était hors ligne.


J'ai essayé de configurer un VPN SSTP sur mon serveur SBS 2011 et je me suis débattu tout au long du processus de délivrance de certificats. J'ai pu générer un nouveau certificat pour mon adresse vpn externe, l'importer sur mon ordinateur client et ajouter mon serveur en tant qu'autorité de certification approuvée. Maintenant j'obtiens l'erreur:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Lorsque j'ai vérifié les points de distribution des listes de révocation de certificats sur le certificat, j'ai constaté que les seules adresses URL étaient celles de mon adresse interne. J'ai donc ajouté une adresse qui pointe vers mon adresse externe (en laissant intactes les adresses internes précédentes). J'ai généré un nouveau certificat, supprimé celui existant de mon client et importé le nouveau, puis relancé RRAS et vérifié que SSTP utilisait mon nouveau certificat, mais je reçois toujours la même erreur.

Lorsque je visualise les détails du certificat que j’ai importé, je constate que le nouveau CDP externe apparaît dans la liste http://mydomain.com/CertEnroll/MYSERVER-CA.crl). Lorsque je mets cela dans un navigateur Web, je reçois un message indiquant que l'importation des listes de révocation de certificats a été effectuée avec succès, ce qui me permet de savoir que l'URL est accessible de l'extérieur et en ligne.

J'ai l'impression que c'est la dernière étape entre moi et un VPN sécurisé, qu'est-ce qui me manque ici?


8
2017-09-25 15:09


origine


J'ai pu désactiver le contrôle de révocation à l'aide du registre, mais il ne s'agit que d'une solution temporaire pour prouver que ma connexion VPN fonctionnera. Maintenant, aussi longtemps que je saurai résoudre ce problème de liste de révocation de certificats, je n'aurai pas à demander à mes utilisateurs de modifier leurs registres. frémir :) - mclark1129
En plus d'inverser la révocation en cochant (ne le laissez pas ainsi) quels autres changements ou différences y a-t-il? Par exemple, la session VPN doit peut-être être configurée pour que vous puissiez atteindre cette URL de liste de révocation de certificats? Vous utilisez peut-être HTTP Auth et une session active avec le serveur n’est pas active pour le processus de récupération de la liste de révocation de certificats? - Ram
Je suis en mesure de télécharger la liste de révocation de certificats standard directement à partir du certificat et de la coller dans un navigateur. Lorsque je regarde dans le composant logiciel enfichable PKI d'entreprise dans la gestion du serveur, plusieurs erreurs se produisent lors de la tentative de téléchargement de ma liste de révocation de certificats delta (MYSERVER-CA + .crl). Je ne peux pas accéder à cette URL à partir du navigateur. annuaire. Je ne sais pas s'il existe des problèmes d'autorisations de fichiers qui l'empêchent d'être accessible à partir d'IIS. - mclark1129
Les erreurs "Impossible de télécharger" s’appliquent même à mes adresses internes (par exemple, serveur / CertEnroll / MYSERVER-CA + .crl) Je peux accéder à l’URL CRL habituelle à partir de mon navigateur en utilisant l’adresse externe sans connexion VPN requise. - mclark1129
Heureusement, j’ai continué à rechercher le problème des listes de révocation de certificats delta et constaté que, par défaut, IIS ne permet pas le double échappement (ce qui signifie que le signe + dans le nom de la liste de révocation des certificats delta ne peut pas être résolu). Une fois que je l'ai activé, les erreurs de téléchargement ne peuvent plus être téléchargées et je peux maintenant me connecter à mon VPN SSTP avec le contrôle de révocation activé! blogs.technet.com/b/lrobins/archive/2008/12/29/… - mclark1129


Réponses:


Le problème était que je ne pouvais pas accéder au fichier CRL delta via IIS 7. Cela était dû au signe '+' du nom de fichier MYSERVER-CA + .crl. Par défaut, IIS 7 définit la propriété allowDoubleEscaping sur False. Cette propriété doit être activée pour que IIS puisse servir ce fichier.

Dans IIS7, je suis allé sur le site Web par défaut, j'ai accédé au répertoire virtuel CertEnroll et activé la propriété dans l'éditeur de configuration. Vous trouverez ci-dessous un lien pour définir ceci via une ligne de commande:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Une fois que j'ai fait cela, mon problème a finalement été résolu!


5
2017-09-29 12:49