建议不要在 CDP/AIA 扩展中使用 LDAP URL。而是建议使用一个可从内部和外部访问且高可用性的 HTTP 位置。

编辑于2015年10月31日：

Microsoft 官方建议如下：Windows Vista 和 Windows Server 2008 中的证书吊销检查白皮书（第 27 页）：

使用 HTTP

尽管 AD DS 允许将 CRL 发布到林中的所有域控制器，但我们建议使用 HTTP 而不是 LDAP 来发布吊销信息。只有 HTTP 才允许使用 ETag 和 Cache-Control：Max-age 标头，从而为代理提供更好的支持并更及时地提供吊销信息。此外，HTTP 提供更好的异构支持，因为大多数 Linux、UNIX 和网络设备客户端都支持 HTTP。

及以下：

限制 URL 数量

不要为 OCSP 和 CRL 检索创建很长的 URL 列表，而应考虑将列表限制为单个 OCSP 和单个 CRL URL。不要提供多个站点，而应努力确保 URL 中引用的站点具有高可用性并能处理预期的带宽要求。

除了上面提到的内容，我还想补充一点。当证书链引擎 (CCE) 使用 CDP/AIA 扩展下载请求的对象（证书、CRL 或其他任何内容都无所谓）时，CCE 会按照扩展中列出的顺序尝试 URL。如果第一个 URL 失败，则会尝试第二个 URL（如果存在），依此类推。Microsoft CryptoAPI 对第一个 URL 使用 15 秒超时，对后续 URL 使用比前一个短两倍的超时（即第二个 URL 为 7.5 秒，依此类推）。

当证书在 Active Directory 域环境中使用时，LDAP 链接不会出现问题。但是，如果任何不是 Active Directory 林成员的客户端尝试验证此类证书，它将在联系域控制器时等待 15 秒。LDAP URL 无法（很可能）从 Internet 解析，即使可以解析，防火墙或 DC 也会拒绝连接。然后，CCE 将尝试第二个 URL（默认安装中为 HTTP），并且可能会成功。但是，根据证书链长度，验证过程可能需要一段时间。

此外，证书验证过程不能无限期地继续，并且证书验证过程存在全局超时。也就是说，证书验证可能会因为这个全局超时而失败。因此，您需要考虑一个高可用性的 HTTP URL（在负载平衡器上），该 URL 可从网络内部和外部解析。如果是这样，那么就不需要辅助 LDAP URL，因为这对于 Internet 用户来说不起作用。