我一直在试图build立一个SSTP VPN到我的SBS 2011服务器,并一直在与证书问题作斗争。 我已经能够为我的外部VPN地址生成一个新的证书,将其导入到我的客户端机器,并将我的服务器添加为受信任的证书颁发机构。 现在我得到的错误:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline. 当我检查证书上的CRL分发点时,我发现只有我的内部地址是唯一的url,所以我添加了另一个指向我的外部地址(保持原始内部URL完好无损)。 我生成一个新的证书,从我的客户端删除现有的一个,并导入新的,并重新启动RRAS和validationSSTP正在使用我的新证书,但我仍然得到相同的错误。
当我查看详细信息时,我导入的证书看到新的外部CDP出现在列表中( http://mydomain.com/CertEnroll/MYSERVER-CA.crl )。 当我把它放到networking浏览器中时,我收到一条消息,说CRL导入是成功的,这让我知道这个URL可以从外部访问,并且在线。
我觉得这是我和一个安全的VPN之间的最后一站,我在这里错过了什么?
问题是我无法通过IIS 7访问Delta CRL文件。这是由于文件名MYSERVER-CA + .crl中的“+”号。 默认情况下,IIS 7将属性allowDoubleEscaping设置为False,并且必须启用此function,以便IIS可以提供此文件。
在IIS7中,我进入了默认网站,导航到CertEnroll虚拟目录,并启用了属性到configuration编辑器。 以下是通过命令行设置的链接:
http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx
一旦我这样做了,我的问题终于解决了!