Microsoft CRL URL

我們有許多無法訪問 Internet 的 Exchange 伺服器。更新 Exchange 時，所有 .NET 程序集都已簽名這一事實意味著安裝程序需要在更新過程中檢查 Microsoft 的 CRL。是否有可以添加到防火牆或代理規則的 URL 的明確列表？我已盡我所能搜尋網際網路，但找不到好的答案或 KB/Technet 文章。

我知道可以禁用 CRL 檢查，但這不是我們組織的首選解決方案。

如果您瀏覽%WINDIR%\Microsoft.NET\assembly\GAC*並查看其中的一些 DLL，它們是 .NET 程序集，當您右鍵點擊其中一個 DLL 並查看其屬性時，您會注意到它們上有一個“數字簽名”選項卡。

（如果太小看不到新標籤，請右鍵點擊圖片並打開）

此處列出了簽署這些程序集所涉及的證書的 CDP（CRL 分發點）。這些是您需要訪問以驗證 CRL 的 URL。

如上面的螢幕截圖所示，答案是 crl.microsoft.com。如果您允許對 crl.microsoft.com 進行 Internet 訪問，那麼您應該一切順利。

這裡有更多資訊：http ://social.technet.microsoft.com/wiki/contents/articles/2303.understanding-access-to-microsoft-certificate-revocation-list.aspx

啟動 .NET 應用程序時，.NET Framework 將嘗試下載任何已簽名程序集的 CRL。如果您執行的系統無法訪問 Internet，或者被限制訪問 Microsoft.com 域，您可能會遇到啟動或執行某些應用程序的延遲。如本文所述，所有託管程式碼在啟動之前都會通過 .net 執行時對 crl.microsoft.com 進行證書檢查

引用自：https://serverfault.com/questions/528107