我已经设置了新服务器并安装了远程访问和证书颁发机构服务,以便可以将其配置为 VPN。我已通过 创建了自己的证书http://localhost/certsvr,并已将其导入受信任的证书存储区。
我的 VPN 可以工作,但前提是我通过注册表禁用客户端上的吊销检查,而我发现我的证书的 CRL 不存在。我的证书名称是dcom-dc01.dcomproductions.com,但当我在 IIS 中检查 CertEnroll 文件夹时,没有列出它的 CRL。只有在证书颁发机构设置期间创建的原始 CRL 才存在(DCOM-DC01-CA)。我尝试这样做Actions -> Publish,但它仍然没有发布 CRL。
我该如何纠正这个问题?
我的 CRL 分发点配置为:
C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl
当然,这里EXTERNALIP是服务器的公共可访问 IP。我唯一更改的是 HTTP,因为我的理解是,这是客户端检查 CRL 的地方。
答案1
首先你的http地址里多出了2个“/”,它应该是:
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
其次,你需要颁发另一个证书,用于你的 IIS(和)VPN。第三,你需要在 IIS 上打开 80 端口