În mediul meu am o Enterprise Root CA instalat pe un controler de domeniu și un controler de domeniu separat configurat ca a Subordonat CA - Știu că acest lucru nu este recomandat din motive de securitate, dar este ceea ce am moștenit.
The Servicii web de înregistrare a certificatelor și Servicii de răspuns online au fost nu instalat pe oricare server, deci fără servicii IIS la loc.
Dacă deschid un certificat pe care îl creez - selectați Detalii fila - și selectați Puncte de distribuție CRL o adresă URL este furnizată după cum urmează:
URL=ldap:///CN=,CN=,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:/ //CN=,CN=,.....)
Iată întrebarea mea - deoarece nu există servicii web care rulează pentru ca clienții să acceseze un CRL folosind http/https, nu clienții obțineți informații actualizate CRL folosind șirul ldap (interogare?) de mai sus? Încerc să înțeleg cum clienții obțin informații noi despre certificatele revocate/expirate atunci când nu există nicio adresă URL pentru a accesa un browser web. Aceste servere sunt toate membri ai aceluiasi domeniu.
Adăugarea IIS la un controler de domeniu nu este o opțiune și implementarea unei VM separate pentru a găzdui fișiere CRL, cel mai probabil, nu va fi aprobată la costul suplimentar al VM-ului și a auzit suplimentar.
