Thursday, February 28, 2013

Erreurs de certificats - CRL

Bonjour, Si vous constatez un délai persistant à chaque chargement d’une appli (typiquement en lançant stsadm, ça met 30 secondes à répondre) C’est normal en production : chaque dll signée est vérifiée par .NET (en java c’est pareil) sur un site de révocation au cas où elle serait compromise. Si la connexion est coupée, on se prend des timeouts systématiques. Un site .NET peut ainsi mettre plus d’une minute à démarrer (sans parler du stsadm qui se prend les 30 secondes à chaque fois) Solution brutale, mettre « 127.0.0.1 crl.microsoft.com » dans le fichier hosts de la machine (ou un tag dans les web.config). Attention, plus de vérifications du tout alors. Ne pas faire en production avec des composants signés tierce partie. Cela génère également des warnings dans les logs, surtout en SharePoint 2013. Il vaut mieux donc enregistrer au moins les certifs pour les composants SharePoint. (si le certificat d’une dll est présent en local, .NET ne va pas essayer de le checker sur un site) Je préfère cette donc dernière méthode, que l’on exécute comme suit : 1. Obtain the “SharePoint Root Authority” certificate as a physical (.cer) file a. Launch the SharePoint 2010 PowerShell window as Administrator b. $rootCert = (Get-SPCertificateAuthority).RootCertificate c. $rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte 2. Import the “SharePoint Root Authority” certificate to the Trusted Root Certification store a. Start | Run | MMC | Enter b. File | Add/Remove Snap-in c. Certificates | Add | Computer account | Next | Local computer | Finish | OK d. Expand Certificates (Local Computer), expand Trusted Root Certification Authorities e. Right-click Certificates > All tasks > Import f. Next | Browse | navigate to and select C:\SharePointRootAuthority.cer | Open | Next | Next | Finish | OK Manip avec copies d’écran : http://www.sharepointblues.com/2012/01/09/sharepoint-certificate-errors/ KB officielle : http://support.microsoft.com/kb/2639348

No comments: