請問遇到如下連結內 TOP7 的問題( SSTP 撤銷伺服器已離線的錯誤訊息)
http://technet.microsoft.com/zh-tw/ee871874.aspx
應如何解決? Firewall 已設定 外部IP 對應 內部CA Server
但不懂它說 由"內到"外" 的意思, 是指內部ip 出去時要透過特定的外定ip出去嗎?
"一般硬體式防火牆:需設定由內到外的 NAT 一對一 IP 位址靜態對應到內部的 CA 憑證伺服器。
不過重點還是CRL發佈點 ,我不太理解 請問這個問題怎麼檢查比較好呢?
已邀請的邦友 {{ invite_list.length }}/5
Firewall 已設定 外部IP 對應 內部CA Server
你設定對應之後, 防火牆上的規則有開啟 Port 80 和 443 給他用嗎?
請用這段資訊來測試你的防火牆是否設定正確:
想要解決這個問題,首先請在 VPN 伺服器上透過 MMC 介面開啟 [憑證] 管理介面,然後開啟所申請的伺服器憑證內容,如圖11 所示切換到該憑證檢視的 [詳細資料] 頁面,在此您可以找到 [CRL 發佈點] 的欄位資訊,其中會發現有關於 URL 的位址相關資訊,您可以在網際網路上透過 IE 瀏覽器來測試看看此網址是否可以正常連線,如果可以正常連線即表示您的這部 CA 伺服器網址有正常發佈到網際網路上,反之則表示在您目前的網路邊際防火牆上沒有正確完成相關安全發佈設定
您必須可以在外面用瀏覽器連上《CRL 發布點》, 如果連不上就是被防火牆擋了...
應該說我的憑證內沒有圖中的http://.... 的發佈點
所以我參考這篇 <http://technet.microsoft.com/zhtw/library/ee649260(WS.10).aspx > 及 http://technet.microsoft.com/zh-tw/library/ee649168(WS.10).aspx 都設定過
,也重設憑證,client 也重新申請憑證 , 但問題依舊 ,
也試過 <http://support.microsoft.com/kb/825061/zh-tw >修改loglevel 的值, 也無效,
另外80和443 port 都有開了, 甚至也試過 port any,也一樣
不知是否還有解決的方法呢?
CRL 是你自己建的, 你應該要知道 URL 才對.
如果沒有 URL, 代表你的 CRL 並沒有建起來.
這件事跟 Exchange 憑證沒有關係, CRL 是 CA 功能的一部分, 請問您的 CA 是怎麼建的? 當初建 CA 的時候, 就應該把 CRL 一併建起來才對....
您有先做過這個嗎:
TechNet: 設定憑證的 CRL 發佈點
這個設定完之後, 就應該要知道 URL 才對....
您好,感謝您的回覆,要澄清的一點是我完全沒有提到跟EXCHANGE 憑證有關..
但重點是自己設的發佈點 輸入http://發佈點ip 是可以正常連線到發佈點,但是因為設定好後,我的憑證內還是沒有出現http://.. 的crl發佈點,
您的那篇我之前就看過,crl 發佈點也是step by step,但文件並沒說明到如何加到SSTP 憑證內
所以我想現在的問題應該是要怎麼把發佈點加到憑證內?
iThome鐵人賽
看影片追技術