Hej!
Jag försökte nyligen implementera Maskinintygsautentisering i Remote Access VPN i en Proof of Concept-miljö.
Följande har konfigurerats:
- Root CA och Intermediate CA
- LDAP-kontoenhet
- Identity Awareness är aktiverat
- Remote Access
- Skicka maskinintyg är inställt på Obligatoriskt
Men när jag försöker logga in på en testklient får jag ständigt felmeddelandet "Client Machine Certificate Error; Kan inte hämta CRL.CN=[namn på certifikatet].
Några idéer om hur man löser detta? Jag har redan försökt allt jag kan tänka mig.
Det verkar indikera att det är problem med att komma åt CRL. Vad pekar CRL-delen av certifikatet på?
Jag trodde samma. Den pekar på en offentlig webbserver från företaget. Telnet på port 80 fungerar från klienten både inom och utanför VPN och från brandväggen också. Men jag ser ingen trafik till webbservern.
Är du säker på att DNS:erna fungerar bra från gatewayen och löser till rätt IP? Är CRL:erna fortfarande giltiga? Vad är utgångsdatumet för dem?
Jag tror jag hittade problemet. Jag kunde se trafiken från gatewayen till webbservern med en tcpdump. Gatewayen skickar trafik via HTTP 1.0 och webbservern tillåter inte den versionen och skickar tillbaka ett “403 Forbidden”. Nu måste jag leta efter ett sätt att ändra HTTP/TLS-versionen för dessa förfrågningar.
TLS-version
Det verkar som du är på rätt spår – du borde inte egentligen använda TLS för CRL-slutpunkterna, då det bör serveras via vanlig HTTP.
Vi använder en enkel nginx VM som webbserver som hostar CRLs och det fungerar utmärkt.
Jag förstår, tack!
Jag kommer att titta vidare på det.