Windows – 从Microsoft PKI中的CDP和AIA中删除LDAP
运行
Windows 2012 R2的Microsoft PKI的默认安装包括CRL分发点(CDP)和授权信息访问(AIA)中的LDAP URL.
我想在组织外部颁发证书,但我不希望证书中包含内部LDAP地址.有没有理由认为从我的扩展中删除LDAP地址会对现在或将来造成伤害?
建议不要在CDP / AIA扩展中使用LDAP URL.相反,建议使用一个内部和外部可访问且高可用的HTTP位置.
编辑31.10.2015: Microsoft官方推荐的内容是在Certificate Revocation Checking in Windows Vista and Windows Server 2008白皮书中写的(第27页):
以下:
除了上面引用的,我还会补充一个简短的解释.当证书链引擎(CCE)使用CDP / AIA扩展来下载请求的对象(无关紧要,证书或CRL或其他任何内容)时,CCE会按照扩展中列出的顺序尝试URL.如果第一个URL失败,将尝试第二个URL(如果显示),依此类推. Microsoft CryptoAPI对第一个URL使用15秒超时,对后续URL使用两倍(即第二个URL为7.5秒,依此类推). 在Active Directory域环境中使用证书时,LDAP链接不会出现问题.但是,如果任何不是Active Directory林成员的客户端尝试验证此类证书,则在联系域控制器时它将等待15秒. LDAP URL(很可能)不能从Internet解析,即使它是可解析的,防火墙或DC也会拒绝连接.然后,CCE将尝试第二个URL(默认安装中的HTTP),并且可能会成功.但是,根据证书链长度,验证过程可能需要一段时间. 此外,证书验证过程无法无限期地继续,并且证书验证过程存在全局超时.也就是说,由于此全局超时,证书验证可能会失败.因此,您需要考虑一个高度可用的HTTP URL(在负载均衡器上),该URL可以从网络内部和外部解析.如果是这种情况,则不需要辅助LDAP URL,这对于Internet用户不起作用. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2008 – 针对AD Server 2008和2008 R2 DCs的
- IIS 7.5虚拟目录托管在第二台服务器上
- Windows – 设置用户配置文件,文件夹重定向和脱机文件后损坏
- 在Windows上安装PostgreSQL
- 想说再见不容易,win7最新市占率依然超36%
- windows – Splunk的替代品?
- 窗口 – 使用具有多个文件类型的forfile用于搜索掩码?
- Windows等效于Unix的pdfinfo
- windows-server-2008 – 使用PowerShell在Windows Server 2
- Windows上的PHP错误日志文件格式(php.ini error_log指令)
- windows-10 – DEP0001:意外错误:-2147014836最
- 在dplyr中使用’window’函数
- Windows 8中的Apache Maven安装
- win2003系统同步Linux ntp server批处理
- Extjs窗口中的视频未扩展到全屏
- windows – Iscsi成立 – 任何理由我不应该做我正
- 在Windows 8.1上如何安装MongoDB作为服务
- windows-server-2012 – 从Windows Server 2012
- 在Windows Intel和Solaris Sparc(T1000)上运行JA
- windows-server-2008 – 远程桌面服务授权 – 服