0
Frage zu Sperrlisten-Verteilungspunkten CDP
Hey Leute,
setzt mich gerade mit PKI auseinander und bin auf ein Problem gestoßen bei dem ich eure Hilfe gebrauchen könnte
Ich bin dabei mich in die SSTP-VPN Materie einzuarbeiten
mein Aufbau gleicht in etwa diesem Beispiel
http://www.windowsecurity.com/articles/Configuring-Windows-Server-2008- ...
Ich habe jetzt die Testumgebung soweit am laufen das eine PPTP Einwahl ohne Probleme möglich ist.
Mein VPN Server hat ein gültiges Zertifikat (ssl binding passt auch )und wenn ich mir das Zertifikat anschaue dann steht unter CDP mein LDAP sowie mein HTTP Verteilungspunkt (in meinen Augen) richtig Eingetragen
Wenn ich jetzt versuche mich mit dem Client per sstp zu verbinden bekomme ich einen 80092013 Error ... welcher ja besagt das die Sperrlisteninfos nicht überprüft werden konnten.
Wenn ich aber im Browser die URL zur Sperrliste eingebe(natürlich auf dem Client) kann ich diese ganz normal runterladen!
Ich habe also anscheinend das selbe Problem wie der Herr hier
[EDIT] oops falscher Link jetzt passts
VPN-Verbindung via SSTP scheitert mit 0x8009201 - Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
leider gab es hier keine Lösung.
Ich habe bei mir mal das CAPI2-logging aktiviert und geschaut was passiert
Es sieht für mich so aus als ob der Client nur die LDAP URL abfragt welche er natürlich nicht erreichen kann ...
Dann habe ich mir noch mein VPN-Zertifikat mit certutil -url vpn.cer überprüft
Ergebnis ist das der HTTP-Verteilungspunkt erreichbar/verifiziert werden kann
daraufhin habe mich noch einen certutil-verify -urlfetch vpn.crt gemacht hier das Ergebnis
Issuer:
CN=weste-DC1-CA
DC=weste
DC=local
Subject:
CN=vpn.weste.local
Cert Serial Number: 613ed67c000000000005
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds
CertContext: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Certificate AIA ----------------
Failed "AIA" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?cACertificate?base?objectClass=certificationAuthority
Verified "Certificate (0)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/dc1.weste.local_weste-DC1-CA.crt
---------------- Certificate CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Verified "Base CRL (01)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/weste-DC1-CA.crl
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
[1.0.0] ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
---------------- Base CRL CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
CRL 01:
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
6e 66 3d 5b d2 ff 00 58 b5 d5 2e 1d 05 69 00 da 68 5d 7a 09
Application = 1.3.6.1.5.5.7.3.1 Server Authentication
CertContext[1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 10:59 AM
NotAfter: 3/8/2016 11:09 AM
Subject: CN=weste-DC1-CA, DC=weste, DC=local
Serial: 0aeda3da00a87c994ffc31b925f90078
bb 4d ab 17 4f 03 53 69 4e e5 36 bc fd 17 49 17 01 72 4f 48
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0
---------------- Certificate CDP ----------------
No URLs "None" Time: 0
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
Exclude leaf cert:
48 45 b4 bc 04 51 0d fa a9 c3 cf 12 f3 57 8e 47 9f 2a 59 b4
Full chain:
6b 7c d0 3a aa 24 51 aa 86 6f f1 53 42 b9 9d 24 08 f3 cf ca
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
Revocation check skipped -- server offline
ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.
CertUtil: -verify command completed successfully.
Leider bin ich jetzt mit meinem Latein am Ende habt Ihr eine Idee wo hier der Fehler liegt?
Vielen Dank schonmal für die Hilfe
Christoph
Hier noch mal das CAP2 errorLog
http://rapidshare.com/files/451590170/sstp_vpn.zip
Und noch ein paar Screens
mein Aufbau gleicht in etwa diesem Beispiel
http://www.windowsecurity.com/articles/Configuring-Windows-Server-2008- ...
Ich habe jetzt die Testumgebung soweit am laufen das eine PPTP Einwahl ohne Probleme möglich ist.
Mein VPN Server hat ein gültiges Zertifikat (ssl binding passt auch )und wenn ich mir das Zertifikat anschaue dann steht unter CDP mein LDAP sowie mein HTTP Verteilungspunkt (in meinen Augen) richtig Eingetragen
Wenn ich jetzt versuche mich mit dem Client per sstp zu verbinden bekomme ich einen 80092013 Error ... welcher ja besagt das die Sperrlisteninfos nicht überprüft werden konnten.
Wenn ich aber im Browser die URL zur Sperrliste eingebe(natürlich auf dem Client) kann ich diese ganz normal runterladen!
Ich habe also anscheinend das selbe Problem wie der Herr hier
[EDIT] oops falscher Link jetzt passts
VPN-Verbindung via SSTP scheitert mit 0x8009201 - Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
leider gab es hier keine Lösung.
Ich habe bei mir mal das CAPI2-logging aktiviert und geschaut was passiert
Es sieht für mich so aus als ob der Client nur die LDAP URL abfragt welche er natürlich nicht erreichen kann ...
Dann habe ich mir noch mein VPN-Zertifikat mit certutil -url vpn.cer überprüft
Ergebnis ist das der HTTP-Verteilungspunkt erreichbar/verifiziert werden kann
daraufhin habe mich noch einen certutil-verify -urlfetch vpn.crt gemacht hier das Ergebnis
Issuer:
CN=weste-DC1-CA
DC=weste
DC=local
Subject:
CN=vpn.weste.local
Cert Serial Number: 613ed67c000000000005
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds
CertContext: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Certificate AIA ----------------
Failed "AIA" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?cACertificate?base?objectClass=certificationAuthority
Verified "Certificate (0)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/dc1.weste.local_weste-DC1-CA.crt
---------------- Certificate CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Verified "Base CRL (01)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/weste-DC1-CA.crl
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
[1.0.0] ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
---------------- Base CRL CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:/CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
CRL 01:
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
6e 66 3d 5b d2 ff 00 58 b5 d5 2e 1d 05 69 00 da 68 5d 7a 09
Application = 1.3.6.1.5.5.7.3.1 Server Authentication
CertContext[1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 10:59 AM
NotAfter: 3/8/2016 11:09 AM
Subject: CN=weste-DC1-CA, DC=weste, DC=local
Serial: 0aeda3da00a87c994ffc31b925f90078
bb 4d ab 17 4f 03 53 69 4e e5 36 bc fd 17 49 17 01 72 4f 48
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0
---------------- Certificate CDP ----------------
No URLs "None" Time: 0
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
Exclude leaf cert:
48 45 b4 bc 04 51 0d fa a9 c3 cf 12 f3 57 8e 47 9f 2a 59 b4
Full chain:
6b 7c d0 3a aa 24 51 aa 86 6f f1 53 42 b9 9d 24 08 f3 cf ca
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
Revocation check skipped -- server offline
ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.
CertUtil: -verify command completed successfully.
Leider bin ich jetzt mit meinem Latein am Ende habt Ihr eine Idee wo hier der Fehler liegt?
Vielen Dank schonmal für die Hilfe
Christoph
Hier noch mal das CAP2 errorLog
http://rapidshare.com/files/451590170/sstp_vpn.zip
Und noch ein paar Screens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162255
Url: https://administrator.de/contentid/162255
Printed on: April 23, 2024 at 08:04 o'clock
