我有大约 30 台 Windows 2008 R2 服务器作为域成员,并且正在尝试正确配置证书部分以便对这些服务器进行远程桌面访问。
问题是需要连接到这些服务器的客户端不在域中。客户端与所有域计算机位于同一内部网络上。
到目前为止,我已经完成了以下工作:
- 创建 CA
- 为远程桌面身份验证配置了证书模板
- 配置默认 GPO 以启用自动注册并让远程桌面服务器从 RDP 证书模板注册证书
- 将 CA 根证书安装到非域客户端上的本地计算机受信任证书存储中
这似乎是有效的,因为每个服务器都经过了自动注册过程。
问题是,当我连接 RDP 客户端时,收到一条证书警告,指出:
A revocation check could not be performed for the certificate
查看证书详细信息,我可以看到它是该机器的正确证书,并且已由我已安装并信任的 CA 根签名。CRL Distribution Points证书上的条目显示:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
根 CA 证书没有列出 CRL 位置。
猜测是客户端尝试联系 LDAP URL 失败了,但不清楚为什么会这样。如何让客户端执行吊销检查?
答案1
哦,我知道为什么了。对于未加入域的计算机,我们也遇到过这种情况(这就是我删除 RDP 证书的原因)。
如果匿名用户无法查询您的 LDAP,或者没有查看该特定位置的权限,则未加入域的计算机将无法到达该位置以获取 CRL,因此将无法执行撤销检查。(当然,假设该位置不会因其他原因(例如不存在)而无法访问。)