No se puede conectar a SSTP VPN: no se puede verificar la revocación porque el servidor de revocación estaba desconectado

8

He estado tratando de configurar una VPN SSTP en mi servidor SBS 2011 y he estado luchando contra problemas de certificados todo el tiempo. Pude generar un nuevo certificado para mi dirección vpn externa, importarlo en mi máquina cliente y agregar mi servidor como una Autoridad de Certificación de Confianza. Ahora me sale el error:

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Cuando verifiqué los puntos de distribución de CRL en el certificado, vi que las únicas URL estaban en mi dirección interna, así que agregué otra que apuntaba a mi dirección externa (dejando intactas las URL internas originales). Generé un nuevo certificado, eliminé el existente de mi cliente e importé el nuevo, reinicié RRAS y verifiqué que SSTP estaba usando mi nuevo certificado, pero todavía recibo el mismo error.

Cuando veo los detalles del certificado que importé, veo que el nuevo CDP externo aparece en la lista (algo relacionado con http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Cuando coloco eso en un navegador web, recibo un mensaje que dice que la importación de CRL fue exitosa, lo que me permite saber que la URL es accesible desde el exterior y está en línea.

Siento que esta es la última parada entre mí y una VPN segura, ¿qué me estoy perdiendo aquí?

mclark1129
fuente
Pude deshabilitar la verificación de revocación usando el registro, pero esta es solo una solución temporal para demostrar que mi conexión VPN funcionará. Ahora todo el tiempo que puedo entender este problema CRL no voy a tener que pedir a mis usuarios para modificar sus registros estremecimiento :)
mclark1129
Además de voltear la revocación marcando (no lo deje así) ¿qué otros cambios o diferencias hay? Por ejemplo, ¿tal vez la sesión VPN debe configurarse para que pueda alcanzar esa URL CRL? ¿Quizás está utilizando HTTP Auth y hay una sesión activa con el servidor que no está activa para el proceso de recuperación de CRL?
Ram
Puedo descargar la CRL estándar directamente desde el certificado y pegarla en un navegador. Cuando miro el complemento Enterprise PKI en la administración del servidor, veo varios errores al intentar descargar mi CRL delta (MYSERVER-CA + .crl). No puedo acceder a esa URL desde el navegador, pero el archivo sí existe en el certificado virtual de CertEnroll. directorio. No estoy seguro de si hay algunos problemas de permisos de archivos que impiden que sea accesible desde IIS.
mclark1129
Los errores, "No se puede descargar" son incluso para mis direcciones internas (por ejemplo, servidor / CertEnroll / MYSERVER-CA + .crl ). Puedo acceder a la URL CRL normal desde mi navegador usando la dirección externa sin necesidad de conexión VPN.
mclark1129
Por suerte, seguí investigando el problema de la CRL delta y descubrí que, por defecto, IIS no permite el doble escape (lo que significa que el signo + en el nombre de la CRL delta no se pudo resolver). Una vez que lo habilité, no pude descargar los errores borrados y ahora puedo conectarme a mi VPN SSTP con la verificación de revocación habilitada. blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

Respuestas:

6

El problema era que no podía acceder al archivo Delta CRL a través de IIS 7. Esto se debió al signo '+' en el nombre de archivo MYSERVER-CA + .crl. De manera predeterminada, IIS 7 establece la propiedad allowDoubleEscaping en False, y esto debe habilitarse para que IIS pueda servir este archivo.

En IIS7, ingresé al sitio web predeterminado, navegué al directorio virtual CertEnroll y habilité la propiedad en el editor de configuración. A continuación hay un enlace para configurar esto a través de una línea de comando:

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

Una vez que hice esto, mi problema finalmente se resolvió.

mclark1129
fuente