Posso descobrir qual servidor de revogação de certificado um aplicativo está entrando em contato?

Question

Posso descobrir qual servidor de revogação de certificado um aplicativo está entrando em contato?

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

2

Estou tentando instalar um aplicativo em uma máquina que executa o Windows XP Pro.

Existem dois servidores diferentes sendo contatados, ambos usando o mesmo certificado curinga (GoDaddy). Um via https, um via net.tcp com ssl. Ambos são serviços WCF.

O primeiro (via https) funcionou bem desde o início. A conexão TCP, no entanto, falha com a mensagem de erro "A função de revogação não pôde verificar a revogação porque o servidor de revogação estava off-line"

Conseguimos que o funcionário de TI desativasse temporariamente o proxy e a conexão TCP foi bem-sucedida, mas ele não pode desativá-lo para sempre e precisamos descobrir qual servidor de revogação está sendo usado.

De acordo com este artigo no site de suporte da GoDaddy ( link ), você precisa ter um desses abertos para a verificação de revogação ter sucesso:

crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com

Podemos fazer um ping com tudo bem com o proxy em execução, mas a conexão TCP não funciona.

Como faço para solucionar isso? Existe uma boa maneira de descobrir qual CRL o aplicativo está tentando entrar em contato?

certificate tcp crl wcf

por Joshua Evensen 16.05.2013 / 20:11

4 respostas

Tags certificate tcp crl wcf

Como fazer downgrade do PHP 5.5 para 5.4 ou 5.3 no centos6 Parar a resposta SSL padrão no IP compartilhado usando o SNI

score 3 · Answer 1

Abra o site no seu navegador, abra o View Certificate (geralmente clicando no ícone Lock ou similar, varia de acordo com o navegador). A guia Details, CRL Distribution Points deve estar na lista com as URLs.

score 2 · Answer 2

Outra opção é limpar o cache de url no certutil e verificá-lo novamente depois que você fizer uma conexão bem-sucedida:

certutil -URLcache * delete

e depois

certutil -URLcache

Se você estiver executando o XP, talvez seja necessário instalar primeiro o certutil:

link

score 0 · Answer 3

Concorde com Chris S. Mas também, para realmente ver o que está em contato, acione o Process Monitor da Microsoft e desligue tudo, exceto o monitoramento de rede.

score 0 · Answer 4

Com relação ao problema subjacente, vale a pena verificar se o proxy está correto para o WinHttp, já que ele pode ter configurações diferentes daquelas usadas por um navegador.

No XP:

proxycfg

No Vista / 7:

netsh winhttp show proxy