URL-адреса Microsoft CRL
У нас есть несколько серверов Exchange без доступа к Интернету. При обновлении Exchange тот факт, что все сборки.NET подписаны, означает, что установщик должен проверять CRL Microsoft в процессе обновления. Есть ли полный список URL-адресов, которые мы можем добавить в правила брандмауэра или прокси-сервера? Я искал интернет в меру своих возможностей, но не могу найти хороший ответ или статью KB/Technet.
Я знаю, что проверка CRL может быть отключена, но это не является предпочтительным решением для нашей организации.
1 ответ
Если вы перейдете к %WINDIR%\Microsoft.NET\assembly\GAC* и посмотрите на некоторые библиотеки DLL, которые являются сборками.NET, вы заметите вкладку "Цифровые подписи" на них, когда вы щелкнете правой кнопкой мыши по одной из библиотек DLL и посмотрите на ее свойства.
(Щелкните правой кнопкой мыши изображение и откройте, если новая вкладка, если слишком мала, чтобы увидеть)
CDP (точки распространения CRL) сертификатов, участвующих в подписании этих сборок, перечислены здесь. Это те URL-адреса, к которым вам нужен доступ для проверки CRL.
Как показано на скриншоте выше, ответ - crl.microsoft.com. Если вы разрешите доступ в Интернет к сайту crl.microsoft.com, вам следует идти дальше.
Вот еще немного информации: http://social.technet.microsoft.com/wiki/contents/articles/2303.understanding-access-to-microsoft-certificate-revocation-list.aspx
При запуске приложения.NET.NET Framework попытается загрузить CRL для любой подписанной сборки. Если ваша система не имеет доступа к Интернету или не имеет доступа к домену Microsoft.com, вы можете столкнуться с задержкой запуска или запуска некоторых приложений. Весь управляемый код проходит проверку сертификата на crl.microsoft.com во время выполнения.net перед запуском, как указано в этой статье.