У меня есть Web-сервис, написанный на WFC, работающий на IIS 8.5 (полностью исправленный W2012R2) в качестве соединителя с итальянским SDICOOP, используемым для отправки / получения einvoices с использованием аутентификации сертификата.
Провайдеру требовалось отключить CRL (они сделали ldap: // сертификат пути для центрального хранилища hihi) и флаги разрешения согласования сертификата клиента, и я применил их оба при привязке сертификата 0.0.0.0:443 с помощью команд netsh.
C:\Windows\system32>netsh http show sslcert
SSL Certificate bindings:
-------------------------
IP:port : 0.0.0.0:443
Certificate Hash : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Disabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Enabled
Они поставили тестовую платформу с несколькими тестами (около 10), чтобы перейти от подключения к работе, а с января мы уже на производстве.
С тех пор я заметил ошибку 403.13 (-2146885613) на IIS, когда мы получаем einvoice. Устранение неполадок следующее говорит
certutil -error -2146885613
0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Error message text: The revocation function was unable to check revocation because the revocation server was offline.
Мы ежедневно пропускаем каждый полученный счет, но успешно отправляем наш счет клиентам с таким же сертификатом.
Несколько месяцев назад я следовал этому руководству https://blogs.msdn.microsoft.com/kaushal/2012/10/15/disable-client-certificate-revocation-crl-check-on-iis/. Теперь я часами заходил в Интернет, пытаясь найти что-то еще. Это достаточно или нет, чтобы отключить проверку CRL на моем веб-сервисе?