Windows

在 Microsoft PKI 中從 CDP 和 AIA 中刪除 LDAP

  • October 31, 2015

執行 Windows 2012 R2 的 Microsoft PKI 的預設安裝包括 CRL 分發點 (CDP) 和授權資訊訪問 (AIA) 中的 LDAP URL。

我想在我的組織之外頒發證書,但我不希望我的證書中包含內部 LDAP 地址。有什麼理由認為從我的擴展中刪除 LDAP 地址會在現在或將來造成傷害?

建議不要在 CDP/AIA 擴展中包含 LDAP URL。相反,建議使用一個內部和外部可訪問且高可用的 HTTP 位置。

編輯 31.10.2015:

微軟官方推薦寫在Windows Vista 和 Windows Server 2008白皮書中的證書撤銷檢查(第 27 頁)中:

使用 HTTP

儘管 AD DS 允許將 CRL 發佈到林中的所有域控制器,但我們建議實施 HTTP 而不是 LDAP 來發布吊銷資訊。只有 HTTP 允許使用 ETag 和 Cache-Control: Max-age 標頭,為代理提供更好的支持和更及時的撤銷資訊。此外,HTTP 提供更好的異構支持,因為大多數 Linux、UNIX 和網路設備客戶端都支持 HTTP。

及以下:

限制 URL 的數量

不要為 OCSP 和 CRL 檢索創建長的 URL 列表,而是考慮將列表限制為單個 OCSP 和單個 CRL URL。與其提供多個站點,不如努力確保 URL 中引用的站點具有高可用性,並且可以處理預期的頻寬要求。

除了上面提到的,我將添加一個簡短的解釋。當證書連結引擎 (CCE) 使用 CDP/AIA 擴展來下載請求的對象(不管證書或 CRL 或其他任何東西)時,CCE 會按照它們在擴展中列出的順序嘗試 URL。如果第一個 URL 失敗,將嘗試第二個 URL(如果存在),依此類推。Microsoft CryptoAPI 對第一個 URL 使用 15 秒超時,而對後續 URL 使用比以前短兩倍(即第二個 URL 為 7.5 秒,依此類推)。

在 Active Directory 域環境中使用證書時,LDAP 連結沒有問題。但是,如果任何不是 Active Directory 林成員的客戶端嘗試驗證此類證書,它將在聯繫域控制器時等待 15 秒。LDAP URL(很可能)不能從 Internet 解析,即使它是可解析的,防火牆或 DC 也會拒絕連接。然後,CCE 將嘗試第二個 URL(在預設安裝中為 HTTP)並且可能會成功。但是,根據證書鏈的長度,驗證過程可能需要一段時間。

此外,證書驗證過程不能無限期地繼續,並且證書驗證過程存在全域超時。也就是說,證書驗證可能會因為這個全域超時而失敗。因此,您需要考慮一個可從網路內部和外部解析的高可用性 HTTP URL(在負載均衡器上)。如果是這種情況,則不需要對 Internet 使用者不起作用的輔助 LDAP URL。

引用自:https://serverfault.com/questions/732655