Я установил новый сервер и установил службы удаленного доступа и центра сертификации, чтобы настроить его как VPN. Я создал свой сертификат через http://localhost/certsvr
, и импортированы в хранилище доверенных сертификатов.
Мой VPN работает, но только если я отключу проверку отзыва на клиенте через реестр, и я обнаружил, что CRL для моего сертификата не существует. Название моего сертификата dcom-dc01.dcomproductions.com
, но когда я проверяю папку CertEnroll в IIS, CRL для нее не отображается. Существует только CRL для оригинала, созданного во время установки центра сертификации (DCOM-DC01-CA
). Я пытался сделать Actions -> Publish
но он по-прежнему не публикует CRL.
Как я могу это исправить?
Мои точки распространения CRL настроены на:
C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl
куда EXTERNALIP
это, конечно, общедоступный IP-адрес сервера. Единственное, что я изменил, это HTTP, потому что я понимаю, что именно здесь клиенты проверяют CRL.
Сначала у вас есть два дополнительных символа "/" в http-адресе, это должно быть:
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Во-вторых, вам нужно выпустить другой сертификат, который будет использоваться в вашем IIS (И) в VPN. 3-й, вам нужно, чтобы порт 80 был открыт на вашем IIS.