web-dev-qa-db-ja.com

CRLはどのくらいの頻度で更新され、どのように強制的に更新されますか?

IIS 7で実行されているX509クライアント証明書を必要とするWebサービスがあります。CRLを取得するには、そのサーバーがDigiCert.comにアクセスする必要があることを知っています(証明書失効リスト)。

プロキシを変更する必要があるので、変更の影響を調査しようとしています。コマンドnetsh winhttp proxy refeshを使用してグローバルプロキシ設定を削除し、コマンドcertutil -URLcache CRL deleteを使用してCRLキャッシュも削除しました。

ただし、これを行った後でも、Webサービスへのすべての呼び出しは成功します。これは私がここで何かが欠けていることを私に示唆しています。

そう; CRLキャッシュがクリアされ、サーバーにCRLを更新する方法がない場合、Webサービスの要求がhttp 403を返さないのはなぜですか?

グーグルや同僚から十分な情報を見つけることができませんでした。

失敗させたい理由は、新しいプロキシ設定が機能することを確信できないからです。それが理にかなっている場合は、最初に壊れていることがわかります。

また、新しいプロキシ設定が確実に機能するように、CRLを強制的に再メッシュできるようにしたいと思います。

3
lockstock

誤解されているかもしれませんが、サーバーにCRLをチェックする方法がない場合、証明書を「取り消す」方法はありません。したがって、それは引き続き機能します。 CRLは「許可」リストではなく、「拒否」リストです。

2
MikeAWood