域成員伺服器 - 訪問證書吊銷列表 (CRL)
在我的環境中,我在域控制器上安裝了企業根 CA,並將單獨的域控制器配置為從屬 CA - 我知道出於安全原因不建議這樣做,但這是我繼承的。
證書註冊 Web 服務和線上響應程序服務均未安裝在任一伺服器上,因此沒有IIS****服務到位。
如果我打開我創建的證書 - 選擇詳細資訊選項卡 - 並選擇CRL 分發點,則會提供如下所示的 URL: URL=ldap:///CN=,CN=,CN=CDP,CN=Public Key Services,CN =Services,CN=Configuration,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=,CN=,…..)
這是我的問題 - 由於沒有為客戶端執行使用 http/https 訪問 CRL 的 Web 服務,客戶端是否使用上面的 ldap 字元串(查詢?)獲取更新的 CRL 資訊?我試圖了解當沒有 URL 訪問 Web 瀏覽器時,客戶端如何獲取有關已撤銷/過期證書的新資訊。這些伺服器都是同一個域的成員。
將 IIS 添加到域控制器不是一種選擇,並且部署單獨的 VM 來託管 CRL 文件很可能不會被批准,因為這會增加 VM 的成本和額外的偷聽。
客戶端是否使用上面的 ldap 字元串(查詢?)獲取更新的 CRL 資訊?
是的。客戶端使用證書的 CDP 擴展中定義的 URL 來下載 CRL。Microsoft CA 和 Windows 客戶端同時支持 HTTP 和 LDAP URL 方案來下載 CRL。Microsoft CA 也可以將 CRL 發佈到 AD。
請記住,只有 AD 林(無論您有多少域)成員可以在 AD 中使用 LDAP URL。