Eu configurei um novo servidor e instalei os serviços de Acesso Remoto e Autoridade de Certificação para que eu possa configurá-lo como uma VPN. Eu criei meu próprio certificado através de http://localhost/certsvr e importei para o Trusted Certificate Store.
Minha VPN funciona, mas apenas se eu desabilitar a verificação de revogação no cliente por meio do registro, e o que eu descobri é que a CRL do meu certificado não existe. O nome do meu certificado é dcom-dc01.dcomproductions.com , mas quando eu verifico a pasta CertEnroll no IIS, a CRL não está listada. Somente a CRL do original criado durante a configuração da Autoridade de Certificação existe ( DCOM-DC01-CA ). Eu tentei fazer Actions -> Publish , mas ainda não publica a CRL.
Como posso corrigir isso?
Meus pontos de distribuição da CRL estão configurados para:
C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl
Em que EXTERNALIP é, obviamente, o IP acessível publicamente para o servidor. O único que eu mudei foi HTTP, porque meu entendimento é que é onde os clientes verificam a CRL.
Primeiro você tem um extra "/" no endereço http, deve ser:
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Em segundo lugar, você precisa emitir outro certificado para ser usado no seu IIS (AND) na VPN 3º, você precisa da porta 80 aberta no seu IIS