none
“检查服务器证书是否已吊销”的勾选去掉 RRS feed

  • 问题

  • 【诉求】:有个内网域名,部署的是公网证书,该域名在内网封闭(完全和外网逻辑隔离)的电脑,访问这个部署公网证书的域名,客户端的IE浏览器,去掉:“检查服务器证书是否已经吊销”,不管win7还是win10,打开很快

    尤其:win10不去掉勾选,压根打不开,

    win7不去掉,IE打开很慢

    【诉求】:

    1、这是什么问题?该怎么解决?

    2、能否通过域策略,对win7和win10 的IE 下发该策略:去掉“检查服务器证书是否已吊销”的勾选?


    • 已编辑 super.ma 2020年6月19日 7:17 增加描述
    2020年6月19日 7:17

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1、这是什么问题?该怎么解决?

    >>根据您的描述,您是不是使用公网证书绑定了一个IE网页,当在IE选项里勾选“检查服务器证书是否已经吊销”这个选项的时候,然后访问这个网页,出现:

    尤其:win10不去掉勾选,压根打不开,
    win7不去掉,IE打开很慢

    如果是的话,这个问题应该是,我们不能访问此公网证书的证书吊销列表文件 (.crl文件 )或者访问的.crl文件不是最新的(也就是过期的crl文件),Internet Explorer无法检查服务器证书是否已被吊销,所以无法打开这个公网证书绑定的IE网页。

    您可以尝试访问此公网证书的证书吊销列表文件,看是否可以访问呢。

    检查方法如下:
    先在IE访问您需要访问的网页,然后右边有一个小锁的图标,点击这个图标,查看证书,证书详情里有一个CRL Distribution Points,一般CRL可以是http或者ldap或者file三种类型的 (证书上可能有任意一种或者两种或者三种类型的CRL,但是我们只需要能够访问其中的一种就可以了)




    解决方法就是要让用户和计算机能够访问到公网证书的最新的CRL文件,系统就可以检查证书是否已经被吊销。


    2、能否通过域策略,对win7和win10 的IE 下发该策略:去掉“检查服务器证书是否已吊销”的勾选?

    >>可以通过于策略下发该策略,策略如下:
    Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    User Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    如果启用此策略设置,Internet Explorer将检查服务器证书是否已被吊销。

    组策略对应的注册表值如下:




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月22日 7:17
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1、这是什么问题?该怎么解决?

    >>根据您的描述,您是不是使用公网证书绑定了一个IE网页,当在IE选项里勾选“检查服务器证书是否已经吊销”这个选项的时候,然后访问这个网页,出现:

    尤其:win10不去掉勾选,压根打不开,
    win7不去掉,IE打开很慢

    如果是的话,这个问题应该是,我们不能访问此公网证书的证书吊销列表文件 (.crl文件 )或者访问的.crl文件不是最新的(也就是过期的crl文件),Internet Explorer无法检查服务器证书是否已被吊销,所以无法打开这个公网证书绑定的IE网页。

    您可以尝试访问此公网证书的证书吊销列表文件,看是否可以访问呢。

    检查方法如下:
    先在IE访问您需要访问的网页,然后右边有一个小锁的图标,点击这个图标,查看证书,证书详情里有一个CRL Distribution Points,一般CRL可以是http或者ldap或者file三种类型的 (证书上可能有任意一种或者两种或者三种类型的CRL,但是我们只需要能够访问其中的一种就可以了)




    解决方法就是要让用户和计算机能够访问到公网证书的最新的CRL文件,系统就可以检查证书是否已经被吊销。


    2、能否通过域策略,对win7和win10 的IE 下发该策略:去掉“检查服务器证书是否已吊销”的勾选?

    >>可以通过于策略下发该策略,策略如下:
    Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    User Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    如果启用此策略设置,Internet Explorer将检查服务器证书是否已被吊销。

    组策略对应的注册表值如下:




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月22日 7:17
    版主
  • 尊敬的客户,您好!

    感谢您将我的回复标记为答案。很高兴提供的信息对您有用。

    一如既往,如果将来有任何疑问,我们热烈欢迎您再次在此论坛上发帖。 我们很乐意为您提供帮助!

    祝您工作生活愉快。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月23日 8:40
    版主
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1、这是什么问题?该怎么解决?

    >>根据您的描述,您是不是使用公网证书绑定了一个IE网页,当在IE选项里勾选“检查服务器证书是否已经吊销”这个选项的时候,然后访问这个网页,出现:

    尤其:win10不去掉勾选,压根打不开,
    win7不去掉,IE打开很慢

    如果是的话,这个问题应该是,我们不能访问此公网证书的证书吊销列表文件 (.crl文件 )或者访问的.crl文件不是最新的(也就是过期的crl文件),Internet Explorer无法检查服务器证书是否已被吊销,所以无法打开这个公网证书绑定的IE网页。

    您可以尝试访问此公网证书的证书吊销列表文件,看是否可以访问呢。

    检查方法如下:
    先在IE访问您需要访问的网页,然后右边有一个小锁的图标,点击这个图标,查看证书,证书详情里有一个CRL Distribution Points,一般CRL可以是http或者ldap或者file三种类型的 (证书上可能有任意一种或者两种或者三种类型的CRL,但是我们只需要能够访问其中的一种就可以了)




    解决方法就是要让用户和计算机能够访问到公网证书的最新的CRL文件,系统就可以检查证书是否已经被吊销。


    2、能否通过域策略,对win7和win10 的IE 下发该策略:去掉“检查服务器证书是否已吊销”的勾选?

    >>可以通过于策略下发该策略,策略如下:
    Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    User Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page > Check for server certificate revocation

    如果启用此策略设置,Internet Explorer将检查服务器证书是否已被吊销。

    组策略对应的注册表值如下:




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    1、HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    2、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    这2个下面都没有,都需要新建?

    CertificateRevocation   字段没有,要新建?

    貌似变灰色了,还不能取消?是什么原因?


    2020年6月23日 9:48