我想在组织外部颁发证书,但我不希望证书中包含内部LDAP地址.有没有理由认为从我的扩展中删除LDAP地址会对现在或将来造成伤害?
编辑31.10.2015:
Microsoft官方推荐的内容是在Certificate Revocation Checking in Windows Vista and Windows Server 2008白皮书中写的(第27页):
Use HTTP
Although AD DS enables publication of CRLs to all domain
controllers in the forest,we recommend implementing HTTP instead of
LDAP for revocation information publication. Only HTTP enables the use
of the ETag and Cache-Control: Max-age headers providing better
support for proxies and more timely revocation information. In
addition,HTTP provides better heterogeneous support as HTTP is
supported by most Linux,UNIX,and network device clients.
以下:
Limit the Number of URLs
Instead of creating long listings of URLs for
OCSP and CRL retrieval,consider limiting the lists to a single OCSP
and a single CRL URL. Instead of providing multiple sites,work on
ensuring that the sites referenced in the URLs are highly available
and can handle the expected bandwidth requirements.
除了上面引用的,我还会补充一个简短的解释.当证书链引擎(CCE)使用CDP / AIA扩展来下载请求的对象(无关紧要,证书或CRL或其他任何内容)时,CCE会按照扩展中列出的顺序尝试URL.如果第一个URL失败,将尝试第二个URL(如果显示),依此类推. Microsoft CryptoAPI对第一个URL使用15秒超时,对后续URL使用两倍(即第二个URL为7.5秒,依此类推).
在Active Directory域环境中使用证书时,LDAP链接不会出现问题.但是,如果任何不是Active Directory林成员的客户端尝试验证此类证书,则在联系域控制器时它将等待15秒. LDAP URL(很可能)不能从Internet解析,即使它是可解析的,防火墙或DC也会拒绝连接.然后,CCE将尝试第二个URL(默认安装中的HTTP),并且可能会成功.但是,根据证书链长度,验证过程可能需要一段时间.
此外,证书验证过程无法无限期地继续,并且证书验证过程存在全局超时.也就是说,由于此全局超时,证书验证可能会失败.因此,您需要考虑一个高度可用的HTTP URL(在负载均衡器上),该URL可以从网络内部和外部解析.如果是这种情况,则不需要辅助LDAP URL,这对于Internet用户不起作用.