執行 Windows 2012 R2 的 Microsoft PKI 的預設安裝包括 CRL 分發點 (CDP) 和授權資訊訪問 (AIA) 中的 LDAP URL。

我想在我的組織之外頒發證書，但我不希望我的證書中包含內部 LDAP 地址。有什麼理由認為從我的擴展中刪除 LDAP 地址會在現在或將來造成傷害？

建議不要在 CDP/AIA 擴展中包含 LDAP URL。相反，建議使用一個內部和外部可訪問且高可用的 HTTP 位置。

編輯 31.10.2015：

微軟官方推薦寫在Windows Vista 和 Windows Server 2008白皮書中的證書撤銷檢查（第 27 頁）中：

使用 HTTP

儘管 AD DS 允許將 CRL 發佈到林中的所有域控制器，但我們建議實施 HTTP 而不是 LDAP 來發布吊銷資訊。只有 HTTP 允許使用 ETag 和 Cache-Control: Max-age 標頭，為代理提供更好的支持和更及時的撤銷資訊。此外，HTTP 提供更好的異構支持，因為大多數 Linux、UNIX 和網路設備客戶端都支持 HTTP。

及以下：

限制 URL 的數量

不要為 OCSP 和 CRL 檢索創建長的 URL 列表，而是考慮將列表限制為單個 OCSP 和單個 CRL URL。與其提供多個站點，不如努力確保 URL 中引用的站點具有高可用性，並且可以處理預期的頻寬要求。

除了上面提到的，我將添加一個簡短的解釋。當證書連結引擎 (CCE) 使用 CDP/AIA 擴展來下載請求的對象（不管證書或 CRL 或其他任何東西）時，CCE 會按照它們在擴展中列出的順序嘗試 URL。如果第一個 URL 失敗，將嘗試第二個 URL（如果存在），依此類推。Microsoft CryptoAPI 對第一個 URL 使用 15 秒超時，而對後續 URL 使用比以前短兩倍（即第二個 URL 為 7.5 秒，依此類推）。

在 Active Directory 域環境中使用證書時，LDAP 連結沒有問題。但是，如果任何不是 Active Directory 林成員的客戶端嘗試驗證此類證書，它將在聯繫域控制器時等待 15 秒。LDAP URL（很可能）不能從 Internet 解析，即使它是可解析的，防火牆或 DC 也會拒絕連接。然後，CCE 將嘗試第二個 URL（在預設安裝中為 HTTP）並且可能會成功。但是，根據證書鏈的長度，驗證過程可能需要一段時間。

此外，證書驗證過程不能無限期地繼續，並且證書驗證過程存在全域超時。也就是說，證書驗證可能會因為這個全域超時而失敗。因此，您需要考慮一個可從網路內部和外部解析的高可用性 HTTP URL（在負載均衡器上）。如果是這種情況，則不需要對 Internet 使用者不起作用的輔助 LDAP URL。

引用自：https://serverfault.com/questions/732655