新しいサーバーをセットアップし、リモートアクセスおよび認証局サービスをインストールして、VPNとして構成できるようにしました。 http://localhost/certsvr
を使用して独自の証明書を作成し、信頼できる証明書ストアにインポートしました。
VPNは機能しますが、レジストリを介してクライアントの失効チェックを無効にした場合にのみ、証明書のCRLが存在しないことがわかりました。証明書の名前はdcom-dc01.dcomproductions.com
ですが、IISのCertEnrollフォルダーを確認すると、そのCRLはリストされていません。認証局のセットアップ中に作成されたオリジナルのCRLのみが存在します。 (DCOM-DC01-CA
)。Actions -> Publish
を実行しようとしましたが、それでもCRLが公開されません。
どうすればこれを修正できますか?
私のCRL配布ポイントは次のように構成されています。
C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl
EXTERNALIP
はもちろん、サーバーのパブリックアクセス可能なIPです。私が変更したのはHTTPだけでした。これは、クライアントがCRLをチェックする場所であると理解しているためです。
まず、httpアドレスに2つの余分な「/」があります。次のようになります。
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
次に、VPN3番目のIIS(AND))で使用する別の証明書を発行する必要があります。IISでポート80を開く必要があります。