我的一个客户想要避免在他的一个网站上进行证书撤销清单的testing。 据我所知,我们已经把这个值(CertCheckMode)为1在IIS元数据库:
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/0c08d268-1634-4486-8382-b735e295b3aa.mspx?mfr=true
问题是这个configuration不起作用。 我正在使用IIS Metabase Explorer来查看该configuration。 它在网站的W3SVC文件夹中显示正常,并在应用程序实际驻留的ROOT IIsVirtualDirectory和其他虚拟目录(我们将其命名为APP)中inheritance。
应用程序被隔离到专用池中。 如果该值出现在虚拟目录中,为什么IIS仍然尝试获取CRL?
等待解决者的虚拟啤酒非常感谢;)
您可以尝试运行命令cscript adsutil.vbs SET w3svc/n/CertCheckMode 1其中n是网站的标识符。 让我知道如果有帮助。
即使这是一个旧post,也许有人会遇到这个问题。
我遇到了类似的情况。 经过许多时间的杀害:
1)CertCheckModeconfiguration参数似乎只适用于客户端证书validation
2).NET将validation强签名的程序集并生成发布者证据 – 如果每次重新启动应用程序池时都启用此function(默认情况下),将检查CRL。 如果有防火墙阻止出站端口80,则应用程序将挂起,直到所有CRL站点超时(〜3-5分钟)
解决方法是:a)启用出站端口80 b)禁止生成发布者证据:
要做到这一点:
在machine.config(!)中,这在(app | web).config中不起作用
<configuration> <runtime> <generatePublisherEvidence> Element <generatePublisherEvidence enabled="false"/>
在我的情况下,我在machine.config的第127行有一个空的<runtime/>标记