Стандартная установка Microsoft PKI под управлением Windows 2012 R2 включает URL-адреса LDAP в точках распространения списков отзыва сертификатов (CDP) и доступ к информации о полномочиях (AIA).
Я хочу выдавать сертификаты за пределами моей организации, но не хочу, чтобы внутренний адрес LDAP был включен в мои сертификаты. Есть ли основания полагать, что удаление адресов LDAP из моих расширений может причинить вред сейчас или в будущем?
Рекомендуется НЕ ИМЕТЬ URL-адреса LDAP в расширениях CDP / AIA. Вместо этого рекомендуется иметь одно местоположение HTTP с внутренним и внешним доступом и высокой доступностью.
Изменить 31.10.2015:
Официальная рекомендация Microsoft написана на Проверка отзыва сертификата в Windows Vista и Windows Server 2008 технический документ (стр.27):
Использовать HTTP
Хотя AD DS позволяет публиковать списки отзыва сертификатов для всех контроллеров домена в лесу, мы рекомендуем реализовать HTTP вместо LDAP для публикации информации об отзыве. Только HTTP позволяет использовать заголовки ETag и Cache-Control: Max-age, обеспечивая лучшую поддержку прокси-серверов и более своевременную информацию об отзыве. Кроме того, HTTP обеспечивает лучшую поддержку гетерогенности, поскольку HTTP поддерживается большинством клиентов Linux, UNIX и сетевых устройств.
и ниже:
Ограничьте количество URL-адресов
Вместо того, чтобы создавать длинные списки URL-адресов для получения OCSP и CRL, рассмотрите возможность ограничения списков одним OCSP и одним URL-адресом CRL. Вместо того, чтобы предоставлять несколько сайтов, поработайте над тем, чтобы сайты, указанные в URL-адресах, были высокодоступными и могли удовлетворить ожидаемые требования к пропускной способности.
Помимо приведенного выше, я бы добавил краткое пояснение. Когда механизм цепочки сертификатов (CCE) использует расширение CDP / AIA для загрузки запрошенного объекта (не имеет значения, сертификат, CRL или что-то еще), CCE пытается использовать URL-адреса в том порядке, в котором они указаны в расширении. Если первый URL-адрес не работает, будет предпринята попытка второго URL-адреса (если он есть) и так далее. Microsoft CryptoAPI использует 15-секундный тайм-аут для первого URL-адреса и в два раза короче предыдущего для последующих URL-адресов (т.е. 7,5 секунд для второго URL-адреса и т. Д.).
Когда сертификат используется в среде домена Active Directory, нет проблем со ссылками LDAP. Однако, если любой клиент, не являющийся членом леса Active Directory, попытается проверить такой сертификат, он будет ждать 15 секунд, пока связывается с контроллерами домена. URL-адрес LDAP невозможно (скорее всего) разрешить из Интернета, и даже если он разрешим, брандмауэры или контроллеры домена откажут в соединении. Затем CCE попытается использовать второй URL (который является HTTP при установке по умолчанию), и это может быть успешным. Однако, в зависимости от длины цепочки сертификатов, процедура проверки может занять некоторое время.
Кроме того, процедура проверки сертификата не может продолжаться бесконечно, и для процедуры проверки сертификата существует глобальный тайм-аут. То есть проверка сертификата может завершиться ошибкой из-за этого глобального тайм-аута. В результате вам необходимо рассмотреть высокодоступный HTTP-URL (на балансировщике нагрузки), который разрешается изнутри и за пределами сети. В этом случае нет необходимости во вторичных URL-адресах LDAP, которые не будут работать для пользователей Интернета.