使用内部证书颁发机构,我颁发了安装在远程桌面会话主机服务器上的通配符证书。
我已经在客户端上安装了根 CA 证书和中间 CA 证书,但是当我尝试连接到会话主机服务器时仍然收到警告消息。
证书颁发机构是内部的 - 活动目录域加入服务器,客户端是来自 Internet 的 Windows 10 计算机(未加入域)
使用该certutil -urlfetch命令时,我对 AIA 和 CDP 的验证失败。
我应该担心这个吗?
由于客户端上安装了根 CA 证书,我应该忽略它吗?
答案1
我应该担心这个吗?
我会的。这清楚地表明您的 PKI 设计存在缺陷,撤销功能完全失效。具体哪里失效了——您应该回答另一个问题。
由于根 CA 证书已安装在客户端,我是否应该忽略它?
我不会。证书是由您的 CA 颁发的,这意味着它是由您的 CA 正确颁发的。自颁发以来,CA 对颁发的证书几乎没有控制权,无法保证证书的安全性。如果有必要,您将无法在证书到期前撤销证书。