У меня есть веб-служба, работающая под IIS 7, для которой требуется сертификат клиента X509. Я знаю, что серверу, на котором он работает, необходим доступ к DigiCert.com, чтобы иметь возможность получить CRL (список отзыва сертификатов).
Необходимо изменить наш прокси, поэтому я пытаюсь исследовать последствия этого. Я удалил глобальные настройки прокси с помощью команды netsh winhttp proxy refesh, а также удалил кеш CRL с помощью команды certutil -URLcache CRL delete.
Однако после этого все вызовы веб-службы по-прежнему будут успешными. Это говорит мне о том, что мне здесь чего-то не хватает.
Так; Если кэш CRL очищен и сервер не имеет возможности обновить CRL, почему запросы веб-службы не возвращают http 403?.
Мне не удалось найти адекватную информацию ни в Google, ни у моих коллег.
Причина, по которой я хочу, чтобы он потерпел неудачу, заключается в том, что я не буду уверен, что новые настройки прокси-сервера работают, пока я не увижу, как он сначала сломан, если это имеет смысл.
Я также хотел бы иметь возможность принудительно обновлять CRL, чтобы гарантировать, что новые настройки прокси работают.
Я могу ошибаться, но если у сервера нет возможности проверить список отзыва сертификатов, нет способа «отозвать» сертификат. Значит, он будет продолжать работать. CRL - это не список «разрешенных», а скорее список «запрещенных».