Имеется ПК с windows server 2003 R2 SP2, доступа в интернет нет, крипто-про версии 3.6.7777 (на вкладке "Настройки TLS" установлены галочки "Не проверять сертификат сервера на отзыв", "Не проверять сертификат клиента на отзыв", всё остальное по умолчанию)

имеется 2 сертификата:
1 коренной сертификат УЦ - установлен на сервере в доверенные корневые центры сертификации и промежуточные (для текущего ПК и пользователя)
2 выданный этим УЦ конечный сертификат - установлен на машине, с которой производится подписание документа

на сервере запущен IIS 6 с сообственным веб-сайтом.
через плагин ЭЦП Browser Plug-in подписывается документ (отсоединенная подпись) с помощью второго сертификата и отправляется на сервер, где происходит проверка этой самой ЭЦП. Проверка осуществляется стандартными методами библиотеки System.Security

при указанных установленных галках настроек крипто-про сценарий работает (правда иногда подписывание подвешивает скрипт для плагина секунд на 30-40 на вскидку).

Также имеется ПК с windows server 2008 R2 E, версия крипто-про, а так же различные настройки, сайт, расположения и сами сертификаты идентичны.
отличие в том, что там IIS 7 версии.

Сценарий на этой машине не отрабатывает. При расшифровке подписи методом CmsSigner.Decode() кидается исключение: "The revocation function was unable to check revocation because the revocation server was offline" (Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен), при этом происходит подвисание.
Если установить списки отзыва из второго сертификата, то проверка проходит нормально (разве что иногда скрипт для плагина так же подвисает на такое ж время).

Ощущение, что во время этого продолжительного подвисания происходит поиск списков отзывов.

Собственно вопрос - почему при равных настройках имеются такие различия?

Так же пробовал с помощью makecert делать корневой сертификат и выдавал от него обычный, личный сертификат, при аналогичных расположениях установленных сертификатов (при просмотре валидность сертификата подтверждается) ошибка проверки несколько иная: "The revocation function was unable to check revocation for the certificate." (Функция отзыва не смогла произвести проверку отзыва для сертификата). С этими сертификатами ошибка на обоих ПК, подвисание меньше, чем у нормальных не тестовых сертификатов.

А так же пробовал выполнять certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

Что я делаю не так? Может где принципиально не правильно делаю.
Необходимо, что бы не происходила проверка списка отзывов.
Заранее спасибо!


upd: после того, как выпустил 2008 сервак в интернет, подпись проверилась (был небольшой подвис, т.е. все таки сам выгрузил список отзывов)
После перекрытия доступа в инет, подпись все так же проверяется, причем уже быстро (видимо с кэша проверяет, что список еще не устарел и ему можно доверять)
после certutil -urlcache CRL delete без интернета так же проверяет.

Отредактировано пользователем 10 ноября 2014 г. 14:09:58(UTC)  | Причина: Не указана