Я новичок в ADCS, и мне нужно многое понять. Я установил двухуровневую PKI и разместил автономный корневой сертификат CA (CRT) и файлы CRL на веб-сервере, указывающем на CNAME в DNS. Когда я настроил расширения CDP и AIA для сертификатов, выдаваемых из корня, я жестко запрограммировал полный URL-адрес http, включая имена файлов CRL / CRT. Например http://cdp.mydomain.com/CertEnroll/myrootca.crl
Теперь мне интересно, насколько плохим был этот выбор. Никаких подстановочных переменных я не использовал.
Корневой центр сертификации не будет использовать дельта-списки отзыва сертификатов, поэтому я думаю, что имя файла CRL не изменится и может заменяться тем же именем файла каждый раз при его обновлении. Это верно? Что касается расширения AIA, я не проверял, включать ли его в выданные сертификаты, поскольку мы не планируем выпускать или использовать сертификаты на компьютерах, не принадлежащих к домену. Я думаю, что доменные машины найдут корневой сертификат в AD или в любом случае через групповую политику.
Если окажется, что эти жесткие URL-пути представляют собой проблему, возможно ли обновить их сейчас, и в следующий раз, когда я обновлю сертификат моего выдающего ЦС из корня, на этом этапе он будет иметь обновленный динамический CDP?
У вас не должно быть проблем. Ваша конфигурация просто означает, что ваш файл CRL должен называться myrootca.crl. Пока он обновляется и сохраняет свое имя, клиенты могут успешно его проверить.
Вы не можете изменить расширение CDP для уже выданных сертификатов. Но если вы измените URL точки CDP, все новые сертификаты с этого момента будут выполнять проверку отзыва с использованием нового URL. После изменения URL-адреса CDP необходимо убедиться, что список отзыва сертификатов будет опубликован также для старого URL-адреса с именем myrootca.crl, чтобы старые сертификаты также могли выполнять проверку отзыва.
Также убедитесь, что ваш список CDP не включает более двух точек CDP, потому что в этом случае проверка отзыва не удастся из-за тайм-аута.