Рейтинг:0

Рядовые серверы домена — доступ к списку отзыва сертификатов (CRL)

флаг cn

В моем окружении у меня есть Корневой ЦС предприятия установленный на контроллере домена, и отдельный контроллер домена, настроенный как Подчиненный ЦС - Я знаю, что это не рекомендуется из соображений безопасности, но это то, что я унаследовал.

Веб-службы регистрации сертификатов и Услуги онлайн-ответчика мы нет установлен на любом сервере, поэтому нет служб IIS на месте.

Если я открываю сертификат, который я создаю, выберите Подробности вкладка - и выберите Точки распространения CRL URL предоставляется следующим образом: URL=ldap:///CN=,CN=,CN=CDP,CN=Службы открытых ключей,CN=Services,CN=Configuration,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:/ //CN=,CN=,.....)

Вот мой вопрос: поскольку для клиентов не работают веб-службы для доступа к CRL с использованием http/https, клиенты получить обновленную информацию CRL, используя строку ldap (запрос?) выше? Я пытаюсь понять, как клиенты получают новую информацию об отозванных/истекших сертификатах, когда нет URL-адреса для доступа к веб-браузеру. Эти серверы все члены одного домена.

Добавление IIS к контроллеру домена не является вариантом, и развертывание отдельной виртуальной машины для размещения файлов CRL, скорее всего, не будет одобрено, что приведет к дополнительным затратам на виртуальную машину и дополнительным накладным расходам.

Рейтинг:2
флаг cn

получают ли клиенты обновленную информацию CRL, используя приведенную выше строку ldap (запрос?)?

да. Клиенты используют URL-адрес, определенный в расширении сертификата CDP, для загрузки CRL. Клиенты Microsoft CA и Windows поддерживают схемы URL-адресов HTTP и LDAP для загрузки CRL. Microsoft CA также может публиковать CRL в AD.

Имейте в виду, что только члены леса AD (независимо от того, сколько у вас доменов) могут использовать URL-адреса LDAP в AD.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.