SSTP VPN에 연결할 수 없음-해지 서버가 오프라인 상태이므로 해지를 확인할 수 없습니다


8

SBS 2011 서버에 SSTP VPN을 설정하려고했으며 인증서 문제를 완전히 해결했습니다. 외부 VPN 주소에 대한 새 인증서를 생성하여 클라이언트 컴퓨터로 가져 와서 신뢰할 수있는 인증 기관으로 서버를 추가 할 수있었습니다. 이제 오류가 발생합니다.

Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

인증서에서 CRL 배포 지점을 확인했을 때 유일한 URL이 내 내부 주소임을 알았으므로 외부 주소를 가리키는 다른 URL을 추가했습니다 (원래 내부 URL은 그대로 유지). 새 인증서를 생성하고 클라이언트에서 기존 인증서를 삭제하고 새 인증서를 가져 와서 RRAS를 다시 시작한 후 SSTP가 새 인증서를 사용하고 있는지 확인했지만 여전히 동일한 오류가 발생합니다.

가져온 인증서에 대한 세부 정보를 볼 때 새 외부 CDP가 목록에 나타납니다 ( http://mydomain.com/CertEnroll/MYSERVER-CA.crl 의 영향 ). 웹 브라우저에 넣으면 CRL 가져 오기에 성공했다는 메시지가 나타납니다.이 URL은 외부에서 액세스 가능하고 온라인 상태임을 알 수 있습니다.

나는 이것이 나와 안전한 VPN 사이의 마지막 정지 점이라고 생각합니다. 여기서 무엇을 놓치고 있습니까?


레지스트리를 사용하여 해지 확인을 비활성화 할 수 있었지만 VPN 연결이 작동한다는 것을 증명하는 임시 솔루션 일뿐입니다. 지금만큼 내가 자신의 레지스트리를 수정하는 내 사용자에게 필요가 없습니다이 CRL 문제를 알아낼 수있는 전율을 :)
mclark1129

해지 확인을 내리는 것 외에 다른 변경 사항이나 차이점이 있습니까? 예를 들어 해당 CRL URL에 도달하려면 VPN 세션을 설정해야합니까? HTTP 인증을 사용하고 있고 CRL 검색 프로세스에 대해 활성이 아닌 서버와의 활성 세션이 있습니까?
Ram

인증서에서 표준 CRL을 직접 다운로드하여 브라우저에 붙여 넣을 수 있습니다. 서버 관리에서 Enterprise PKI 스냅인을 보면 델타 CRL (MYSERVER-CA + .crl)을 다운로드하려고 할 때 몇 가지 오류가 표시됩니다. 브라우저에서 해당 URL에 액세스 할 수 없지만 파일 자체는 CertEnroll 가상에 존재합니다 예배 규칙서. IIS에서 액세스 할 수없는 파일 권한 문제가 있는지 확실하지 않습니다.
mclark1129

"다운로드 할 수 없음"오류는 내부 주소에도 적용됩니다 (예 : server / CertEnroll / MYSERVER-CA + .crl ) VPN 연결없이 외부 주소를 사용하여 브라우저에서 일반 CRL URL에 액세스 할 수 있습니다.
mclark1129

운 좋게도 델타 CRL 문제를 계속 연구했으며 기본적으로 IIS는 이중 이스케이프를 허용하지 않습니다 (델타 CRL 이름의 + 기호를 확인할 수 없음). 사용하도록 설정하면 다운로드 할 수없는 오류가 해결되었으며 해지 확인을 사용하여 SSTP VPN에 연결할 수 있습니다. blogs.technet.com/b/lrobins/archive/2008/12/29/…
mclark1129

답변:


6

문제는 IIS 7을 통해 델타 CRL 파일에 액세스 할 수 없다는 것입니다. 이는 파일 이름 MYSERVER-CA + .crl의 '+'기호 때문입니다. 기본적으로 IIS 7은 allowDoubleEscaping 속성을 False로 설정하며 IIS가이 파일을 처리 할 수 ​​있도록 활성화해야합니다.

IIS7에서는 기본 웹 사이트로 이동하여 CertEnroll 가상 디렉터리로 이동하여 속성을 구성 편집기에서 활성화했습니다. 다음은 명령 행을 통해이를 설정하는 링크입니다.

http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx

이 작업을 수행하면 마침내 문제가 해결되었습니다!

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.