Я пытался настроить SSTP VPN на свой сервер SBS 2011 и все время боролся с проблемами сертификата. Мне удалось сгенерировать новый сертификат для моего внешнего адреса vpn, импортировать его на свой клиентский компьютер и добавить свой сервер в качестве доверенного центра сертификации. Теперь я получаю ошибку:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
Когда я проверил точки распространения CRL в сертификате, я увидел, что единственные URL-адреса относятся к моему внутреннему адресу, поэтому я добавил еще один, который указывает на мой внешний адрес (оставив исходные внутренние URL-адреса нетронутыми). Я создал новый сертификат, удалил существующий из моего клиента и импортировал новый, перезапустил RRAS и убедился, что SSTP использует мой новый сертификат, но я все еще получаю ту же ошибку.
Когда я просматриваю детали импортированного мной сертификата, я вижу, что новый внешний CDP появляется в списке (что-то вроде http://mydomain.com/CertEnroll/MYSERVER-CA.crl). Когда я помещаю это в веб-браузер, я получаю сообщение о том, что импорт CRL был успешным, что позволяет мне узнать, что URL-адрес доступен извне и находится в сети.
Я чувствую, что это последняя остановка между мной и защищенным VPN, чего мне здесь не хватает?
Проблема заключалась в том, что мне не удалось получить доступ к файлу Delta CRL через IIS 7. Это произошло из-за знака «+» в имени файла MYSERVER-CA + .crl. По умолчанию IIS 7 устанавливает для свойства allowDoubleEscaping значение False, и это должно быть включено, чтобы IIS мог обслуживать этот файл.
В IIS7 я зашел на веб-сайт по умолчанию, перешел в виртуальный каталог CertEnroll и включил свойство в редакторе конфигурации. Ниже приведена ссылка для установки этого параметра в командной строке:
http://blogs.technet.com/b/lrobins/archive/2008/12/29/publishing-delta-crls-on-iis-7.aspx
Как только я это сделал, моя проблема была окончательно решена!