使用 HTTP

使用 HTTP

运行 Windows 2012 R2 的 Microsoft PKI 的默认安装包括 CRL 分发点 (CDP) 和授权信息访问 (AIA) 内的 LDAP URL。

我想在组织外部颁发证书,但不希望证书中包含内部 LDAP 地址。是否有理由认为从扩展中删除 LDAP 地址会造成现在或将来的危害?

答案1

建议不要在 CDP/AIA 扩展中使用 LDAP URL。而是建议使用一个可从内部和外部访问且高可用性的 HTTP 位置。

编辑于2015年10月31日:

Microsoft 官方建议如下:Windows Vista 和 Windows Server 2008 中的证书吊销检查白皮书(第 27 页):

使用 HTTP

尽管 AD DS 允许将 CRL 发布到林中的所有域控制器,但我们建议使用 HTTP 而不是 LDAP 来发布吊销信息。只有 HTTP 才允许使用 ETag 和 Cache-Control:Max-age 标头,从而为代理提供更好的支持并更及时地提供吊销信息。此外,HTTP 提供更好的异构支持,因为大多数 Linux、UNIX 和网络设备客户端都支持 HTTP。

及以下:

限制 URL 数量

不要为 OCSP 和 CRL 检索创建很长的 URL 列表,而应考虑将列表限制为单个 OCSP 和单个 CRL URL。不要提供多个站点,而应努力确保 URL 中引用的站点具有高可用性并能处理预期的带宽要求。

除了上面提到的内容,我还想补充一点。当证书链引擎 (CCE) 使用 CDP/AIA 扩展下载请求的对象(证书、CRL 或其他任何内容都无所谓)时,CCE 会按照扩展中列出的顺序尝试 URL。如果第一个 URL 失败,则会尝试第二个 URL(如果存在),依此类推。Microsoft CryptoAPI 对第一个 URL 使用 15 秒超时,对后续 URL 使用比前一个短两倍的超时(即第二个 URL 为 7.5 秒,依此类推)。

当证书在 Active Directory 域环境中使用时,LDAP 链接不会出现问题。但是,如果任何不是 Active Directory 林成员的客户端尝试验证此类证书,它将在联系域控制器时等待 15 秒。LDAP URL 无法(很可能)从 Internet 解析,即使可以解析,防火墙或 DC 也会拒绝连接。然后,CCE 将尝试第二个 URL(默认安装中为 HTTP),并且可能会成功。但是,根据证书链长度,验证过程可能需要一段时间。

此外,证书验证过程不能无限期地继续,并且证书验证过程存在全局超时。也就是说,证书验证可能会因为这个全局超时而失败。因此,您需要考虑一个高可用性的 HTTP URL(在负载平衡器上),该 URL 可从网络内部和外部解析。如果是这样,那么就不需要辅助 LDAP URL,因为这对于 Internet 用户来说不起作用。

相关内容