我有一个在IIS 7下运行的Web服务,需要X509客户端证书。 我知道它所在的服务器需要访问DigiCert.com,以便能够获得CRL(证书吊销列表)。
有需要改变我们的代理,所以我试图调查这样做的影响。 我使用命令netsh winhttp proxy refesh删除了全局代理设置,并使用命令certutil -URLcache CRL delete删除了CRLcaching。
但是,这样做后,所有对Web服务的调用仍然成功。 这表明我在这里失去了一些东西。
所以; 如果清除CRLcaching并且服务器无法刷新CRL,为什么web服务请求不返回http 403? 。
我一直无法从Google或从同事那里find足够的信息。
我希望它失败的原因是我不能确信新的代理设置的工作,直到我看到它先破坏,如果这是有道理的。
我也希望能够强制CRL被刷新,以确保新的代理设置工作
我可能会误解,但如果服务器无法检查CRL,则无法“吊销”证书。 所以它会继续工作。 CRL不是“允许”列表,而是“拒绝”列表。