He estado tratando de configurar una VPN SSTP en mi servidor SBS 2011 y he estado luchando contra problemas de certificados todo el tiempo. Pude generar un nuevo certificado para mi dirección vpn externa, importarlo en mi máquina cliente y agregar mi servidor como una Autoridad de Certificación de Confianza. Ahora me sale el error:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
Cuando verifiqué los puntos de distribución de CRL en el certificado, vi que las únicas URL estaban en mi dirección interna, así que agregué otra que apuntaba a mi dirección externa (dejando intactas las URL internas originales). Generé un nuevo certificado, eliminé el existente de mi cliente e importé el nuevo, reinicié RRAS y verifiqué que SSTP estaba usando mi nuevo certificado, pero todavía recibo el mismo error.
Cuando veo los detalles del certificado que importé, veo que el nuevo CDP externo aparece en la lista (algo relacionado con http://mydomain.com/CertEnroll/MYSERVER-CA.crl ). Cuando coloco eso en un navegador web, recibo un mensaje que dice que la importación de CRL fue exitosa, lo que me permite saber que la URL es accesible desde el exterior y está en línea.
Siento que esta es la última parada entre mí y una VPN segura, ¿qué me estoy perdiendo aquí?
fuente
Respuestas:
El problema era que no podía acceder al archivo Delta CRL a través de IIS 7. Esto se debió al signo '+' en el nombre de archivo MYSERVER-CA + .crl. De manera predeterminada, IIS 7 establece la propiedad allowDoubleEscaping en False, y esto debe habilitarse para que IIS pueda servir este archivo.
En IIS7, ingresé al sitio web predeterminado, navegué al directorio virtual CertEnroll y habilité la propiedad en el editor de configuración. A continuación hay un enlace para configurar esto a través de una línea de comando:
http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx
Una vez que hice esto, mi problema finalmente se resolvió.
fuente