3. Considérations notables et dépannage
Les enregistrements DNS
Il est recommandé d’employer une URL dédiée au service SSTP par soucis de lisibilité et de compréhension. Aussi, une adresse de VPN « sstp.votredomaine.com » n’est pas du plus mauvais genre. Attention néanmoins à indiquer à votre serveur DNS un alias vers votre serveur VPN qui ne porte pas forcément ce FQDN.
La CRL, un élément à ne pas négliger
La CRL, ou Certificate Revocation List, est comme son nom l’indique un élément regroupant les certificats ayant été révoqués, en d’autres mots qui ne sont plus valides.
Dès lors, pour vérifier que le certificat du serveur est toujours valable, l’ordinateur client doit avoir accès à l’emplacement de stockage de la CRL. Pour les clients distants, c’est le plus souvent une URL vers un serveur Web de l’entreprise. Par défaut, l’URL de la CRL est de la forme http://nomdevotreserveur.votredomaine/... alors que ce nom n’est pas forcément accessible depuis Internet. Il est alors intéressant de changer cette adresse et de la mettre sous la forme http://sstp.votredomaine/... pour correspondre avec l’URL du VPN par exemple. Cette modification doit être faite si possible avant l’émission du 1er certificat du serveur directement dans les propriétés de l’autorité de certification. Après avoir indiqué que les certificats doivent intégrés cette nouvelle donnée, puis après avoir forcé la publication de la 1ère CRL, les problèmes liés devraient disparaître.
Le changement de certificat du serveur
Il peut arriver d’avoir à changer de certificat au niveau serveur. On citera notamment la corruption de l’autorité de certification, ou plus simplement le changement du FQDN d’accès au serveur, ou encore la modification de l’URL de publication de la CRL. Si vous devez procéder à son remplacement, faites comme suit :
Supprimez l’ancien certificat du magasin et importez le nouveau.
Ouvrez un invite de commande en tant qu’administrateur et entrez ces commandes :
Netsh http delete ssl 0.0.0.0:443 #ceci enlève le lien entre le certificat et le port 443
Netsh http delete ssl [::]:443 #idem pour IPv6
Reg delete HKLM\system\currentcontrolset\services\sstpsvc\parameters /v SHA256CertificateHash /f
Si vous avez plusieurs certificats d’authentification de serveur dans le magasin, entrez ces deux commandes :
Netsh http add sslcert ipport 0.0.0.0:443 certhash=[Thumbprint du certificate sans espaces] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY
Netsh http add sslcert ipport [::]:443 certhash=[Thumbprint du certificat] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY
Net stop sstpsvc /y
Net start remoteaccess
 Sommaire
1. Généralités et rappels sur les protocoles VPN
2. Configuration du serveur
3. Configuration du client
4. Considérations notables et dépannage
5. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Windows Server 2008 : VPN SSTP
