web-dev-qa-db-ja.com

SSTP VPNに接続できません-失効サーバーがオフラインだったため、失効を確認できません

私はSBS 2011サーバーにSSTP VPNをセットアップしようと試みており、証明書の問題とずっと闘っています。外部VPNアドレスの新しい証明書を生成し、それをクライアントマシンにインポートして、サーバーを信頼できる証明機関として追加できました。今私はエラーを受け取ります:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

証明書のCRL配布ポイントを確認したところ、URLが内部アドレスのみであることがわかりました。そのため、外部アドレスを指す別のURLを追加しました(元の内部URLはそのままにしておきます)。新しい証明書を生成し、クライアントから既存の証明書を削除してインポートし、RRASを再起動して、SSTPが新しい証明書を使用していることを確認しましたが、それでも同じエラーが発生します。

インポートした証明書の詳細を表示すると、新しい外部CDPがリストに表示されていることがわかります( http://mydomain.com/CertEnroll/MYSERVER-CA.crl の影響) 。これをWebブラウザーに入力すると、CRLのインポートが成功したというメッセージが表示され、URLが外部からアクセス可能であり、オンラインになっていることがわかります。

これが私と安全なVPNの間の最後のストップだと思います。ここで何が欠けていますか?

8
mclark1129

問題は、IIS 7を介してDelta CRLファイルにアクセスできなかったことです。これは、ファイル名MYSERVER-CA + .crlの「+」記号が原因でした。デフォルトではIIS 7は、プロパティallowDoubleEscapingをFalseに設定します。これを有効にしてIISがこのファイルを提供できるようにする必要があります。

IIS7では、既定のWebサイトに移動し、CertEnroll仮想ディレクトリに移動して、プロパティを構成エディターで有効にしました。以下は、コマンドラインからこれを設定するためのリンクです。

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

これを行うと、私の問題はようやく解決されました!

6
mclark1129