Certificate

Microsoft CRL URL

  • August 1, 2013

我們有許多無法訪問 Internet 的 Exchange 伺服器。更新 Exchange 時,所有 .NET 程序集都已簽名這一事實意味著安裝程序需要在更新過程中檢查 Microsoft 的 CRL。是否有可以添加到防火牆或代理規則的 URL 的明確列表?我已盡我所能搜尋網際網路,但找不到好的答案或 KB/Technet 文章。

我知道可以禁用 CRL 檢查,但這不是我們組織的首選解決方案。

如果您瀏覽%WINDIR%\Microsoft.NET\assembly\GAC*並查看其中的一些 DLL,它們是 .NET 程序集,當您右鍵點擊其中一個 DLL 並查看其屬性時,您會注意到它們上有一個“數字簽名”選項卡。

(如果太小看不到新標籤,請右鍵點擊圖片並打開)

在此處輸入圖像描述

此處列出了簽署這些程序集所涉及的證書的 CDP(CRL 分發點)。這些是您需要訪問以驗證 CRL 的 URL。

如上面的螢幕截圖所示,答案是 crl.microsoft.com。如果您允許對 crl.microsoft.com 進行 Internet 訪問,那麼您應該一切順利。

這裡有更多資訊:http ://social.technet.microsoft.com/wiki/contents/articles/2303.understanding-access-to-microsoft-certificate-revocation-list.aspx

啟動 .NET 應用程序時,.NET Framework 將嘗試下載任何已簽名程序集的 CRL。如果您執行的系統無法訪問 Internet,或者被限制訪問 Microsoft.com 域,您可能會遇到啟動或執行某些應用程序的延遲。如本文所述,所有託管程式碼在啟動之前都會通過 .net 執行時對 crl.microsoft.com 進行證書檢查

引用自:https://serverfault.com/questions/528107