Jump to content
Sign in to follow this  
todde_hb

SSTP - Sperrserver offline

Recommended Posts

Hi,

 

versuche in einer Testumgebung SSTP zum laufen zu bekommen. Habe auf DC1 AD CS, NPS, RRAS, IIS. Im certmgr habe ich die URL zur Sperrliste eingetragen( im Screenshot der letzte Eintrag). Der DC1 ist über dyndns auf Port 80 und 443 erreichbar. Habe dann im IIS ein CSR erstellt, die bei der CA eingereicht und dann wieder im IIS eingebunden und das Certificate in den Bindings auf Port 443 zugewiesen. Im RRAS ebenfalls dieses Certificate unter Security ausgewählt. Dann NPS konfuguriert, dass VPN einwahl erlaubt ist, erstmal ohne Einschränkungen von Benutzern etc.

 

Auf dem Client habe ich dann http://meine.dyndnsadresse.eu/Certsrv aufgerufen, um das CA Certificate herunterzuladen. Es ist "Vertrauenwürdige Stammzertifikate" installiert. Starte ich dann die VPN auf dem WIN10 Client. dann erscheint dieser Fehler:

 

"Die Sperrfunktion konnte die Sperrung nicht überprüfen, dass der Sperrserver offline war"

 

Habe schon ohne Ende geggogelt, aber eine Lösung dazu habe ich nicht gefunden. Testweise habe ich sogar in der Registry einen Eintrag gemacht,  die Überprüfung der CRL komplett abzuschalten, aber selbst das funktioniert nicht.

 

Im Wireshark habe ich mal geschaut, was während der Verbindung passiert. So wie ich das interpretiere, fragt der SSTP Client gar nicht die Sperrliste auf Port 80 ab, zumindest sehe ich dazu keinen Eintrag.

 

Was habe ich übersehen bzw. wo ist der Fehler zu finden. Wenn es gar nicht anders geht, dann würde ich auf eine öffentliche CA umsteigen, aber das ist nur die Notlösung.

 

ciao, todde_hb

 

 

 

 

2018-05-21 11_51_45-192.168.178.100 - Remotedesktopverbindung.png

2018-05-21 11_57_31-Einstellungen.png

2018-05-21 12_04_34-_Ethernet.png

Share this post


Link to post
Share on other sites

Was mir jetzt noch aufgefallen ist: Die Sperrlisten URL wird gar nicht im Zerifikat gelistet. Wie kann das sein? Für die eingetragene URL aus Screenshot 1 kann ich den Punkt "Publish CRLs to this location gar nicht auswählen" Im ausgestellten Zertifikat ist lediglich der CRL im LDAP eingetragen. Denke da ist der Fehler schon zu suchen. Wie bekomem ich nun die http Adresse ins Zertifikat?

 

Problem gelöst. Es war ein simpler Haken "Include CRLs. Client uses this to find Delta CRL locations"

Edited by todde_hb
  • Like 2

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...