Windows-Server-2008

Microsoft 離線根 CA CDP 和 AIA http URL 是硬編碼的 - 前面有問題嗎?

  • October 15, 2013

我是ADCS的新手,有很多要了解的。我設置了一個 2 層 PKI,並將離線根 CA 證書 (CRT) 和 CRL 文件放在指向 DNS 中的 CNAME 的 Web 伺服器上。當我為從根頒發的證書配置 CDP 和 AIA 擴展時,我硬編碼了完整的 http URL,包括 CRL /CRT 文件名。例如http://cdp.mydomain.com/CertEnroll/myrootca.crl

現在我想知道這是多麼糟糕的選擇。我沒有使用任何替換變數。

根 CA 不會使用增量 CRL,所以我認為 CRL 文件名不會改變,每次更新時都可以用相同的文件名替換。它是否正確?至於 AIA 擴展,我沒有檢查是否將其包含在已頒發的證書中,因為我們不打算在非域機器上頒發或使用證書。我認為域機器會在 AD 中找到根證書,或者無論如何通過組策略。

如果事實證明這些硬 URL 路徑是一個問題,是否可以現在更新它們,並且下次我從根更新我的頒發 CA 的證書時,它會在那時擁有更新的動態 CDP?

你不應該有問題。您的配置只是意味著您的 CRL 文件應稱為 myrootca.crl。只要它保持更新並保持其名稱,客戶就可以成功檢查它。

您不能更改已頒發證書的 CDP 擴展。但是,如果您要更改 CDP 點的 URL,則從那時起的所有新證書都將使用新 URL 執行吊銷檢查。更改 CDP URL 後,您需要確保 CRL 也將發佈到名稱為 myrootca.crl 的舊 URL,以便舊證書也可以執行吊銷檢查。

還要確保您的 CDP 列表包含的 CDP 點不超過兩個,因為在這種情況下,撤銷檢查將由於超時而失敗。

引用自:https://serverfault.com/questions/525053