Назад | Перейти на главную страницу

URL-адрес Microsoft CRL

У нас есть несколько серверов Exchange без доступа к Интернету. При обновлении Exchange тот факт, что все сборки .NET подписаны, означает, что установщику необходимо проверять список отзыва сертификатов Microsoft в процессе обновления. Есть ли окончательный список URL-адресов, которые мы можем добавить в правила нашего брандмауэра или прокси? Я прочесал Интернет изо всех сил, но не нашел хорошего ответа или статьи в KB / Technet.

Я знаю, что проверку CRL можно отключить, но это не лучшее решение для нашей организации.

Если вы перейдете к %WINDIR%\Microsoft.NET\assembly\GAC* и посмотрите на некоторые из имеющихся там DLL, которые представляют собой сборки .NET, вы заметите вкладку «Цифровые подписи» на них, когда вы щелкните правой кнопкой мыши одну из DLL и посмотрите ее свойства.

(Щелкните изображение правой кнопкой мыши и откройте новую вкладку, если она слишком мала для просмотра)

CDP (точки распространения CRL) сертификатов, участвующих в подписании этих сборок, перечислены здесь. Это URL-адреса, к которым вам нужен доступ для проверки списков отзыва сертификатов.

Как показано на скриншоте выше, ответ - crl.microsoft.com. Если вы разрешаете доступ в Интернет к crl.microsoft.com, все будет в порядке.

Вот еще немного информации: http://social.technet.microsoft.com/wiki/contents/articles/2303.understanding-access-to-microsoft-certificate-revocation-list.aspx

При запуске приложения .NET .NET Framework попытается загрузить CRL для любой подписанной сборки. Если у вашей системы нет доступа в Интернет или доступ к домену Microsoft.com ограничен, вы можете столкнуться с задержкой при запуске или запуске некоторых приложений. Весь управляемый код проходит проверку сертификата на crl.microsoft.com с помощью среды выполнения .net перед запуском, как указано в этой статье.