Windows-Server-2008

無法連接到 SSTP VPN - 無法檢查吊銷,因為吊銷伺服器已離線

  • September 29, 2011

我一直在嘗試為我的 SBS 2011 伺服器設置一個 SSTP VPN,並且一直在與證書問題作鬥爭。我已經能夠為我的外部 vpn 地址生成一個新證書,將其導入我的客戶端電腦,並將我的伺服器添加為受信任的證書頒發機構。現在我得到錯誤:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

當我檢查證書上的 CRL 分發點時,我看到唯一的 url 是我的內部地址,所以我添加了另一個指向我的外部地址的 URL(保持原始內部 url 不變)。我生成了一個新證書,從我的客戶端刪除了現有證書並導入了新證書,然後重新啟動 RRAS 並驗證 SSTP 正在使用我的新證書,但我仍然收到相同的錯誤。

當我查看導入的證書的詳細資訊時,我看到新的外部 CDP 出現在列表中(類似於http://mydomain.com/CertEnroll/MYSERVER-CA.crl的效果)。當我將它放入 Web 瀏覽器時,我收到一條消息說 CRL 導入成功,這讓我知道該 URL 可以從外部訪問並且是線上的。

我覺得這是我和安全 VPN 之間的最後一站,我在這裡錯過了什麼?

問題是我無法通過 IIS 7 訪問 Delta CRL 文件。這是由於文件名 MYSERVER-CA+.crl 中的“+”號。預設情況下,IIS 7 將屬性 allowDoubleEscaping 設置為 False,並且必須啟用該屬性,以便 IIS 可以提供此文件。

在 IIS7 中,我進入預設網站,導航到 CertEnroll 虛擬目錄並啟用配置編輯器的屬性。以下是通過命令行進行設置的連結:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

一旦我這樣做了,我的問題終於解決了!

引用自:https://serverfault.com/questions/315308