Проверка отзыва сертификата не выполняется для гостя, не являющегося доменом, несмотря на доступный CRL

Когда мы пытаемся использовать сертификаты на компьютерах, которые не являются частью домена, Windows жалуется, что

Функция отзыва не смогла проверить отзыв, поскольку сервер отзыва был отключен.

Однако, если я вручную открою сертификат и проверю CRL Distribution Point собственность, я вижу ldap:/// URL и http:// URL-адрес, который указывает на доступный извне сайт IIS, на котором размещены списки отзыва сертификатов. Конечно, клиент, не присоединенный к домену, не может получить доступ к ldap:/// URL-адрес, но он может загрузить CRL из http:// ссылка (по крайней мере, в браузере).

Я включил ведение журнала CAPI и вижу событие, соответствующее этой неудачной проверке отзыва. В RevocationInfo раздел:

• RevocationInfo

  [freshnessTime] PT11H27M4S

  • RevocationResult Функция отзыва не смогла проверить отзыв, поскольку сервер отзыва был отключен.
    [значение] 80092013
  • CertificateRevocationList
    [местоположение] UrlCache
    [url] http: //правильный URL
    [fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
    [название эмитента] название центра сертификации

Кроме того, я могу увидеть HTTP-запрос на правильный URL-адрес и ответ сервера (HTTP 304 не изменен) с помощью Microsoft Network Monitor.

Я побежал certutil -verify -urlfetch, и похоже, что это то же самое: компьютер распознает оба URL, пробует оба, и даже если http:// ссылка успешна, возвращает ту же ошибку.

Есть ли способ, чтобы клиенты, не присоединенные к домену, пропустили ldap:/// ссылку и только проверьте http:// один?

Редактировать:
В ldap:/// URL-адрес

ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Клиенты, не присоединенные к домену, могут находиться в сети домена или во внешней сети. В http:// CDP доступен из общедоступного Интернета.