Disable Check for publisher's certificate revocation

Andres Bohren

Hallo zusammen,

Beim Installieren der Exchange Update Rollups werden die .NET Assemblies generiert. Diese besitzen eine Digitale Signatur. Und jede Datiesignatur wird auf ein zurückgezogene Signatur geprüft. Bei einem Server ohne Internetverbindung oder ein Proxy der solche Abfragen blockt, kann es natürlich sehr lange gehen, weil die Anfrage jeweils in ein Timeout läuft.

Ich habe den Zeitraum vom Generieren der Assemblies

bis zu deren fertigstellung gemessen.

 

Dauer Einstellung
2:45 Certificate Revocation Check Disabled
5:37 Certificate Revocation Check Enabled
2:00 No Network Connection

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\State
0x00023e00 / 146944 Check OFF
0x00023c00 / 146432 Check ON

Diese Einstellung kann man auch über die Internet Options vom IE vornehmen. Entfernt man das Häcklein bei " Check for Publisher's certificate revocation"

Wird das in der Registry angepasst.

Das ganze kann natürlich auch über Powershell in die Registry geschrieben werden

Write-Host "Disable Check for publisher’s certificate Revocation"
set-ItemProperty -path "REGISTRY::\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\" -name State -value 146944

Write-Host "Enable Check for publisher’s certificate Revocation"
set-ItemProperty -path "REGISTRY::\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\" -name State -value 146432

Eigentlich wollte ich mal messen wie lange das Timeout denn so ist und habe die Netzwerkkarten der VM getrennt.

Lustigerweise wird das erkennt und man erhält einen Link wo erklärt wird, wie der CRL Check deaktiviert werden kann http://go.microsoft.com/fwlink/?LinkId=158006 welcher auf die URL http://technet.microsoft.com/en-us/library/ee221147.aspx verweist.

Weitere Informationen:

Grüsse
Andres Bohren