Trong môi trường của tôi, tôi có một CA gốc doanh nghiệp được cài đặt trên bộ điều khiển miền và bộ điều khiển miền riêng được định cấu hình là CA cấp dưới - Tôi biết điều này không được khuyến khích vì lý do bảo mật nhưng đó là thứ tôi được thừa hưởng.
Các Dịch vụ web đăng ký chứng chỉ và Dịch vụ trả lời trực tuyến là không phải được cài đặt trên một trong hai máy chủ, vì vậy không có dịch vụ IIS tại chỗ.
Nếu tôi mở chứng chỉ do tôi tạo - hãy chọn Chi tiết tab - và chọn Điểm phân phối CRL một URL được cung cấp như sau:
URL=ldap:///CN=,CN=,CN=CDP,CN=Dịch vụ khóa công khai,CN=Dịch vụ,CN=Configuration,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:/ //CN=,CN=,.....)
Đây là câu hỏi của tôi - vì không có dịch vụ web nào đang chạy để khách hàng truy cập CRL bằng http/https, nên khách hàng có nhận thông tin CRL được cập nhật bằng cách sử dụng chuỗi ldap (truy vấn?) ở trên? Tôi đang cố gắng hiểu cách khách hàng lấy thông tin mới về chứng chỉ đã hết hạn/bị thu hồi khi không có URL để truy cập trình duyệt web. Các máy chủ này đều thành viên của cùng một tên miền.
Việc thêm IIS vào bộ điều khiển miền không phải là một tùy chọn và việc triển khai một máy ảo riêng biệt để lưu trữ các tệp CRL rất có thể sẽ không được chấp thuận dẫn đến chi phí gia tăng của máy ảo và tình cờ nghe được thêm.
