嗨，伙计们，

我使用的几个客户端运行SSTP VPN时遇到了一个问题，使用的是让我们为SSL加密证书。

第一个站点使用的是一台2012 R2服务器(Essentials)主机，该主机上还有一台运行2012 R2 Essentials的虚拟机，团队将VPN接入该服务器。这些服务器都是最新的(直到昨晚才运行更新)。该站点具有Essentials附带的CA/ADCS。

第二个站点运行的是带有2012 R2标准版的单个物理服务器，无VM。这台服务器是一个月前更新的。此站点没有CA/ADC。

客户端计算机大多是Win10 Enterprise，混合了Creator的更新版本和非Creator的更新版本。

这两个网站都遇到了同样的问题。对于SSTP VPN，我们安装了一个新的让我们加密SSL证书。现在我们收到以下错误：“吊销功能无法检查吊销，因为吊销服务器处于脱机状态。”

我们首先认为这可能与内置的CA(以及生成的CA证书)干扰CRL存储或其他方面有关。然而，考虑到它发生在没有内置CA的第二个站点上，这一点似乎不太可能。

我们已经尝试了许多步骤来尝试并从客户端和服务器端诊断根本原因。

客户端计算机：已清除CRL缓存。剥离并重新设置VPN连接(PowerShell)、完全的“网络重置”、将证书本身添加到客户端计算机、在不同网络(WiFi、有线以太网、4G)上测试客户端

服务器端：重新颁发证书，检查吊销列表以防万一，检查RRAS、CA、ADCS和我们能想到的所有其他网络相关部分。

我们发现的唯一似乎是可行的解决方法(而且是非常临时的，因为所有相关的安全问题，我们真的不想在生产环境中使用它)就是在客户端计算机上禁用注册表中的吊销检查。

还有谁遇到过这种情况吗？有没有人知道为什么会发生这种情况，以及在证书创建等过程中是否需要更改？Hi@GM_VoidSoul

我可以给你发送一份关于SSTP VPN的非常好的简报，但首先，你为什么要使用SSTP？

只是好奇而已。我已经配置了几个非常复杂的环境，对于VPN技术人员来说，我通常不会使用SSTP。

Andrei，@ahaw021我们最初使用的是PPTP，但是我们的一些客户的工作人员在机场外使用WiFi时遇到了一些问题，并且由于旧的网络硬件导致PPTP连接出现问题而无法使用VPN，因此SSTP总体上似乎是克服这一特殊障碍的更好方法。你对使用VPN的安全生产环境有什么建议？我知道这有点离题，但我可能会选择OpenVPN和/或StrongSwan，除非有特定的理由不这样做。我一直在建设VPN网络，并对此做了相当多的研究。我只想说，任何人都不应该使用PPTP。它完全坏了！

OpenVPN和IPSec都可以。任何你没有源代码的东西都可能不是。微软并不完全以安全著称。

至于这个问题，会不会和OCSP和发行中断有关，2017-05-19？，Hi@GM_VoidSoul

我相信您面临的挑战是您没有在RRAS服务器上安装We‘s Encrypt Intermediate。

您可以使用MMC插件验证是否属于这种情况

Image.png1023×512 40.7 KB

解决这个问题应该很容易：

重命名为.erc.

双击并安装它。可以肯定的是，选择中间存储，而不是让Windows选择一个。还要安装到计算机中，而不是用户信任存储中。

Image.png413×515 44.3 KB

图像.png840×492 45.7 KB

一旦成功，您应该会看到如下所示：

Image.png814×198 18.8KB

我认为CRL(证书吊销列表)URL在中间证书中，而不是叶证书中

@Schoen-你能证实这一点吗？

我做了以下检查

openssl x509 -在证书名称中-noout -text

中级有这个扩展：

X509 v3 MEL分发点：

全名：

网址：http://crl.identrust.com/DSTROOTCAX3CRL.crl

image.png782 x 666 12.9 KB

叶子证书没有

image.png958 x 324 6.31 KB

Andrei