我一直在尝试为我的 SBS 2011 服务器设置 SSTP VPN,并一直在与证书问题作斗争。我已经能够为我的外部 vpn 地址生成新证书,将其导入我的客户端计算机,并将我的服务器添加为受信任的证书颁发机构。现在我收到错误:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
当我检查证书上的 CRL 分发点时,我发现唯一的 URL 指向我的内部地址,因此我添加了另一个指向我的外部地址的 URL(保留原始内部 URL)。我生成了一个新证书,从我的客户端删除了现有证书并导入了新证书,然后重新启动了 RRAS 并验证了 SSTP 正在使用我的新证书,但我仍然收到相同的错误。
当我查看我导入的证书的详细信息时,我看到新的外部 CDP 出现在列表中(效果是http://mydomain.com/CertEnroll/MYSERVER-CA.crl)。当我将其放入 Web 浏览器时,我收到一条消息,提示 CRL 导入成功,这让我知道该 URL 可以从外部访问并且处于在线状态。
我觉得这是我和安全 VPN 之间的最后一站,我在这里错过了什么?
答案1
问题是我无法通过 IIS 7 访问 Delta CRL 文件。这是因为文件名 MYSERVER-CA+.crl 中有“+”号。默认情况下,IIS 7 将属性 allowDoubleEscaping 设置为 False,必须启用该属性,IIS 才能提供此文件。
在 IIS7 中,我进入默认网站,导航到 CertEnroll 虚拟目录并将该属性启用到配置编辑器。以下是通过命令行进行设置的链接:
http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx
一旦我这样做,我的问题就终于解决了!