web-dev-qa-db-ja.com

WinHTTPを使用してWindows2008アプリのCRLチェックを無効にするにはどうすればよいですか?

SSLセッションにWinHTTPを使用するアプリを備えたWindows2008サーバーがあります。サーバーはインターネットから分離されていますが、それでもCRL配布ポイントに接続しようとするため、タイムアウトが発生します。

サーバーはインターネットにまったくアクセスできないため、CRLチェックを無効にします。

Windows 2003サーバーでも同様の問題が発生し、次のレジストリキーを調整することで解決しました。

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Http/Parameters/SslBindiongInfo/0.0.0.0:443/DefaultSslCertCheckMode (DWORD=1)

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/PPP/EAP/13/NoRevocationCheck (DWORD = 1)

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/PPP/EAP/13/NoRootRevocationCheck (DWORD = 1)

これは2008年には機能していないようです。また、[ツール] >> [インターネットオプション] >> [詳細設定]でCRLチェックをIE)から無効にしてみました。

ここで試すことができるものは他にありますか?

windows-server-2008networkingsslcrl
2
Mike B

私たちが見つけたのは、IISワーカープロセスがスリープ状態になるときはいつでも-デフォルトではアイドル時間は20分で、ウェイクアップするとそれが通過してヒープ全体をチェックし、CLRはチェック。アイドル時間を0に設定し、特定の場所でリサイクルを行うことが、これを分類するための最良の方法です。

1
Ash

私はしませんが、crlサーバーをブラックホール化することはできますか? 127.0.0.1crl.Host.domainnaameをhostsファイルに追加できます。

別のアプリケーションのこの例は次のとおりです。

Exchange Server 2007の更新プログラムのロールアップをインストールした後、Exchange Server 2007のマネージコードサービスが開始されない
http://support.Microsoft.com/kb/944752

1
Greg Askew