SBS 2011 서버에 SSTP VPN을 설정하려고했으며 인증서 문제를 완전히 해결했습니다. 외부 VPN 주소에 대한 새 인증서를 생성하여 클라이언트 컴퓨터로 가져 와서 신뢰할 수있는 인증 기관으로 서버를 추가 할 수있었습니다. 이제 오류가 발생합니다.
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
인증서에서 CRL 배포 지점을 확인했을 때 유일한 URL이 내 내부 주소임을 알았으므로 외부 주소를 가리키는 다른 URL을 추가했습니다 (원래 내부 URL은 그대로 유지). 새 인증서를 생성하고 클라이언트에서 기존 인증서를 삭제하고 새 인증서를 가져 와서 RRAS를 다시 시작한 후 SSTP가 새 인증서를 사용하고 있는지 확인했지만 여전히 동일한 오류가 발생합니다.
가져온 인증서에 대한 세부 정보를 볼 때 새 외부 CDP가 목록에 나타납니다 ( http://mydomain.com/CertEnroll/MYSERVER-CA.crl 의 영향 ). 웹 브라우저에 넣으면 CRL 가져 오기에 성공했다는 메시지가 나타납니다.이 URL은 외부에서 액세스 가능하고 온라인 상태임을 알 수 있습니다.
나는 이것이 나와 안전한 VPN 사이의 마지막 정지 점이라고 생각합니다. 여기서 무엇을 놓치고 있습니까?
레지스트리를 사용하여 해지 확인을 비활성화 할 수 있었지만 VPN 연결이 작동한다는 것을 증명하는 임시 솔루션 일뿐입니다. 지금만큼 내가 자신의 레지스트리를 수정하는 내 사용자에게 필요가 없습니다이 CRL 문제를 알아낼 수있는 전율을 :)
—
mclark1129
해지 확인을 내리는 것 외에 다른 변경 사항이나 차이점이 있습니까? 예를 들어 해당 CRL URL에 도달하려면 VPN 세션을 설정해야합니까? HTTP 인증을 사용하고 있고 CRL 검색 프로세스에 대해 활성이 아닌 서버와의 활성 세션이 있습니까?
—
Ram
인증서에서 표준 CRL을 직접 다운로드하여 브라우저에 붙여 넣을 수 있습니다. 서버 관리에서 Enterprise PKI 스냅인을 보면 델타 CRL (MYSERVER-CA + .crl)을 다운로드하려고 할 때 몇 가지 오류가 표시됩니다. 브라우저에서 해당 URL에 액세스 할 수 없지만 파일 자체는 CertEnroll 가상에 존재합니다 예배 규칙서. IIS에서 액세스 할 수없는 파일 권한 문제가 있는지 확실하지 않습니다.
—
mclark1129
"다운로드 할 수 없음"오류는 내부 주소에도 적용됩니다 (예 : server / CertEnroll / MYSERVER-CA + .crl ) VPN 연결없이 외부 주소를 사용하여 브라우저에서 일반 CRL URL에 액세스 할 수 있습니다.
—
mclark1129
운 좋게도 델타 CRL 문제를 계속 연구했으며 기본적으로 IIS는 이중 이스케이프를 허용하지 않습니다 (델타 CRL 이름의 + 기호를 확인할 수 없음). 사용하도록 설정하면 다운로드 할 수없는 오류가 해결되었으며 해지 확인을 사용하여 SSTP VPN에 연결할 수 있습니다. blogs.technet.com/b/lrobins/archive/2008/12/29/…
—
mclark1129