В моем окружении у меня есть Корневой ЦС предприятия установленный на контроллере домена, и отдельный контроллер домена, настроенный как Подчиненный ЦС - Я знаю, что это не рекомендуется из соображений безопасности, но это то, что я унаследовал.
Веб-службы регистрации сертификатов и Услуги онлайн-ответчика мы нет установлен на любом сервере, поэтому нет служб IIS на месте.
Если я открываю сертификат, который я создаю, выберите Подробности вкладка - и выберите Точки распространения CRL URL предоставляется следующим образом:
URL=ldap:///CN=,CN=,CN=CDP,CN=Службы открытых ключей,CN=Services,CN=Configuration,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:/ //CN=,CN=,.....)
Вот мой вопрос: поскольку для клиентов не работают веб-службы для доступа к CRL с использованием http/https, клиенты получить обновленную информацию CRL, используя строку ldap (запрос?) выше? Я пытаюсь понять, как клиенты получают новую информацию об отозванных/истекших сертификатах, когда нет URL-адреса для доступа к веб-браузеру. Эти серверы все члены одного домена.
Добавление IIS к контроллеру домена не является вариантом, и развертывание отдельной виртуальной машины для размещения файлов CRL, скорее всего, не будет одобрено, что приведет к дополнительным затратам на виртуальную машину и дополнительным накладным расходам.
