我一直在尝试为我的SBS 2011服务器设置SSTP VPN,并且一直在与证书问题作斗争。我已经能够为我的外部vpn地址生成一个新证书,将其导入到客户端计算机中,并将服务器添加为受信任的证书颁发机构。现在我得到了错误:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
当我检查证书上的CRL分发点时,我看到唯一的URL指向我的内部地址,因此我添加了另一个指向我的外部地址的URL(保留了原来的内部URL)。我生成了一个新证书,从客户端中删除了现有证书,然后导入了新证书,然后重新启动了RRAS,并验证SSTP正在使用我的新证书,但是仍然出现相同的错误。
当查看我导入的证书的详细信息时,我看到新的外部CDP出现在列表中(对http://mydomain.com/CertEnroll/MYSERVER-CA.crl有所影响)。当我将其放入Web浏览器时,会收到一条消息,说明CRL导入已成功,这使我知道该URL可从外部访问且处于联机状态。
我觉得这是我与安全VPN之间的最后一站,这里我想念的是什么?
我可以使用注册表禁用吊销检查,但这只是一个临时解决方案,用以证明我的VPN连接可以正常工作。现在,我只要我能弄清楚这个问题,CRL我不会要问我的用户修改自己的注册不寒而栗 :)
—
mclark1129
除了取消吊销检查(不要那样做)之外,还有哪些其他更改或区别?例如,也许必须设置VPN会话才能访问该CRL URL?也许您使用的是HTTP身份验证,并且与服务器之间存在活动会话,而该会话对于CRL检索过程而言不是活动的?
—
拉姆
我可以直接从证书中下载标准CRL,然后将其粘贴到浏览器中。当我在服务器管理中的Enterprise PKI管理单元中查看时,确实看到了尝试下载增量CRL(MYSERVER-CA + .crl)时遇到的一些错误,我无法从浏览器访问该URL,但是文件本身确实存在于CertEnroll虚拟中目录。我不确定是否存在某些文件权限问题,从而无法从IIS访问它。
—
mclark1129 2011年
错误“无法下载”甚至针对我的内部地址(例如server / CertEnroll / MYSERVER-CA + .crl),我也可以使用外部地址从浏览器访问常规CRL URL,而无需VPN连接。
—
mclark1129 2011年
幸运的是,我一直在研究增量CRL问题,发现默认情况下IIS不允许两次转义(这意味着无法解析增量CRL名称中的+号)。启用它之后,我将无法清除错误,现在可以启用撤消检查连接到我的SSTP VPN! blogs.technet.com/b/lrobins/archive/2008/12/29/…–
—
mclark1129 2011年