Eu tenho um servidor Windows 2008 com um aplicativo que usa o WinHTTP para sessões SSL. O servidor é isolado da Internet, mas ainda tenta se conectar aos pontos de distribuição da CRL, o que leva a alguns tempos limite.
Como o servidor não tem acesso à Internet, gostaria de desativar as verificações de CRL.
Eu tive um problema semelhante em um servidor Windows 2003 e resolvi isso ajustando as seguintes chaves do Registro:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Http/Parameters/SslBindiongInfo/0.0.0.0:443/DefaultSslCertCheckMode (DWORD=1)
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/PPP/EAP/13/NoRevocationCheck (DWORD = 1)
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/PPP/EAP/13/NoRootRevocationCheck (DWORD = 1)
Isso parece não estar funcionando em 2008. Eu também tentei desativar a verificação de CRL do IE em Ferramentas > > Opções da Internet > > Avançado
Existe mais alguma coisa que eu possa experimentar aqui?
Eu não, mas funcionaria para blackhole o (s) servidor (es) crl? Você pode adicionar 127.0.0.1 crl.host.domainnaame ao arquivo de hosts.
Um exemplo disso para outro aplicativo está aqui:
Os serviços de código gerenciado do Exchange Server 2007 não são iniciados depois que você instala um pacote cumulativo de atualizações para o Exchange Server 2007
link
O que descobrimos é sempre que o processo de trabalho do IIS entra em suspensão - por padrão, o tempo ocioso é de 20 minutos e, quando ele é ativado, ele verifica um monte de coisas e o CLR é uma das verificações. Definir o tempo ocioso como 0 e colocar em reciclagem em específico é a melhor maneira de resolver isso.
Talvez valha a pena olhar para este blog
Desativar verificação de CRL em toda a máquina Painel de controle - > Opções da Internet - > Avançado - > Em segurança, desmarque a opção Verificar revogação do certificado do editor
Desabilitar verificação de CRL para um aplicativo .Net específico Consulte este artigo da base de conhecimento da Microsoft: link