与仅使用 HTTP 相比,使用脱机 CA 的 LDAP 分发点有什么好处?听起来,仅使用 HTTP 分发点的过程要简单得多。我花了很多时间研究这个问题,但没有明确的答案。
编辑 - 我有一个异构环境。据我了解,我需要通过 HTTP 提供分发点,以便从我的嵌入式设备和 Linux 客户端进行未经身份验证的访问。既然如此,将 CRL 也添加到 AD 有什么好处?
答案1
LDAP 分发点很不错,因为您不必担心复制,而且您可能有多个 DC,因此有多个备份服务器。显然,这只对内部 PKI 有用。如果您需要从外部访问,http 或更好的 OCSP 是更好的选择。