У меня около 30 серверов Windows 2008 R2 в качестве членов домена, и я пытаюсь правильно настроить часть сертификатов для доступа удаленного рабочего стола к этим серверам.
Загвоздка в том, что клиенты, которым необходимо подключиться к этим серверам, не находятся в домене. Клиенты находятся в той же внутренней сети, что и все компьютеры домена.
Пока что я сделал следующее:
Кажется, это работает, поскольку каждый сервер прошел процесс автоматической регистрации.
Проблема в том, что когда я подключаюсь к RDP-клиенту, я получаю предупреждение о сертификате:
A revocation check could not be performed for the certificate
Глядя на сведения о сертификате, я вижу, что это правильный сертификат для машины, и он был подписан корневым центром сертификации, который я установил и которому доверяю. В CRL Distribution Points запись в сертификате гласит:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
В сертификате корневого центра сертификации нет указанного расположения CRL.
Предположительно, клиент пытается связаться с URL-адресом LDAP и терпит неудачу, но неясно, почему это должно быть. Как мне заставить клиента выполнить проверку отзыва?
О, я знаю почему. Это случилось и с нами, для компьютеров, не подключенных к домену (поэтому я удалил сертификаты RDP).
Если анонимный пользователь не может запросить ваш LDAP или не имеет разрешений на просмотр этого конкретного местоположения, то компьютер, не присоединенный к домену, не сможет достичь этого местоположения для получения CRL, следовательно, не сможет для выполнения проверки отзыва. (Если, конечно, это место не является недоступным по другой причине, например, не существует.)