我有一个用WFC编写的Web服务,该Web服务运行在IIS 8.5(已完全打补丁的W2012R2)上,作为到意大利SDICOOP的连接器,用于使用证书身份验证发送/接收电子发票。
提供商要求禁用CRL(它们对中央存储区hihi进行了ldap://路径的证书)和“协商客户端证书”启用标志,并且我使用netsh命令将它们都应用于0.0.0.0:443证书绑定。
C:\Windows\system32>netsh http show sslcert
SSL Certificate bindings:
-------------------------
IP:port : 0.0.0.0:443
Certificate Hash : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Disabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Enabled
他们为测试平台提供了多个测试(约10个),以从连通性转变为可运行,然后从1月开始生产。
从那时起,当我收到电子发票时,我注意到IIS上出现错误403.13(-2146885613)。对以下内容进行故障排除
certutil -error -2146885613
0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Error message text: The revocation function was unable to check revocation because the revocation server was offline.
我们每天都会错过所有收到的发票,但是会成功将发票发送给具有相同证书的客户。
几个月前,我遵循了本指南https://blogs.msdn.microsoft.com/kaushal/2012/10/15/disable-client-certificate-revocation-crl-check-on-iis/。现在,我在网上检查了几个小时,试图找出更多内容。这是否足以在我的Web服务上禁用CRL检查?