У нас есть несколько серверов Exchange без доступа к Интернету. При обновлении Exchange тот факт, что все сборки .NET подписаны, означает, что установщику необходимо проверять список отзыва сертификатов Microsoft в процессе обновления. Есть ли окончательный список URL-адресов, которые мы можем добавить в правила нашего брандмауэра или прокси? Я прочесал Интернет изо всех сил, но не нашел хорошего ответа или статьи в KB / Technet.
Я знаю, что проверку CRL можно отключить, но это не лучшее решение для нашей организации.
Если вы перейдете к %WINDIR%\Microsoft.NET\assembly\GAC*
и посмотрите на некоторые из имеющихся там DLL, которые представляют собой сборки .NET, вы заметите вкладку «Цифровые подписи» на них, когда вы щелкните правой кнопкой мыши одну из DLL и посмотрите ее свойства.
(Щелкните изображение правой кнопкой мыши и откройте новую вкладку, если она слишком мала для просмотра)
CDP (точки распространения CRL) сертификатов, участвующих в подписании этих сборок, перечислены здесь. Это URL-адреса, к которым вам нужен доступ для проверки списков отзыва сертификатов.
Как показано на скриншоте выше, ответ - crl.microsoft.com. Если вы разрешаете доступ в Интернет к crl.microsoft.com, все будет в порядке.
Вот еще немного информации: http://social.technet.microsoft.com/wiki/contents/articles/2303.understanding-access-to-microsoft-certificate-revocation-list.aspx
При запуске приложения .NET .NET Framework попытается загрузить CRL для любой подписанной сборки. Если у вашей системы нет доступа в Интернет или доступ к домену Microsoft.com ограничен, вы можете столкнуться с задержкой при запуске или запуске некоторых приложений. Весь управляемый код проходит проверку сертификата на crl.microsoft.com с помощью среды выполнения .net перед запуском, как указано в этой статье.