.png)
在我的环境中我有一个企业根 CA安装在域控制器上,并配置为从属 CA- 我知道出于安全原因不建议这样做,但这是我继承的。
这证书注册 Web 服务和联机响应服务是不是安装在任一服务器上,因此没有 IIS 服务到位。
如果我打开我创建的证书 - 选择细节标签 - 并选择CRL 分发点提供的 URL 如下: URL=ldap:///CN=,CN=,CN=CDP,CN=公钥服务,CN=服务,CN=配置,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=,CN=,.....)
这是我的问题 - 由于没有运行任何 Web 服务供客户端使用 http/https 访问 CRL,那么客户端使用上面的 ldap 字符串(查询?)获取更新的 CRL 信息?我想了解在没有 URL 访问 Web 浏览器的情况下,客户端如何获取有关已撤销/过期证书的新信息。这些服务器都是同一域的成员。
将 IIS 添加到域控制器不是一个选择,并且部署单独的 VM 来托管 CRL 文件很可能不会被批准,因为会增加 VM 的成本和额外的开销。
答案1
客户端是否使用上面的 ldap 字符串(查询?)获取更新的 CRL 信息?
是的。客户端使用证书的 CDP 扩展中定义的 URL 下载 CRL。Microsoft CA 和 Windows 客户端都支持 HTTP 和 LDAP URL 方案来下载 CRL。Microsoft CA 也可以将 CRL 发布到 AD。
请记住,只有 AD 林(无论您有多少个域)成员才能使用 AD 中的 LDAP URL。