build议在CDP / AIA扩展中不要使用LDAP URL。 相反，build议有一个内部和外部可访问和高可用的HTTP位置。

编辑31.10.2015：

Microsoft Windows的官方build议是在Windows Vista和Windows Server 2008白皮书中的证书吊销检查 （第27页）中编写的：

使用HTTP

虽然AD DS允许向林中的所有域控制器发布CRL，但我们build议使用HTTP而不是LDAP来发布吊销信息。 只有HTTP才能使用ETag和Cache-Control：Max-age标头，为代理和更及时的撤销信息提供更好的支持。 此外，HTTP提供了更好的异构支持，因为大多数Linux，UNIX和networking设备客户端都支持HTTP。

及以下：

限制url的数量

不要为OCSP和CRL检索创build长的URL列表，而应考虑将列表限制为单个OCSP和单个CRL URL。 不是提供多个站点，而是确保URL中引用的站点具有高可用性，并且可以处理预期的带宽需求。

除了上面提到的，我还要加上一个简单的解释。 证书链接引擎（CCE）使用CDP / AIA扩展来下载请求的对象（无关紧要，证书或CRL或其他）时，CCE将按照扩展名中列出的顺序尝试URL。 如果第一个URL失败，则会尝试第二个URL（如果有），等等。 Microsoft CryptoAPI对第一个URL使用15秒的超时，对后续的URL使用比先前短两倍的时间（例如对于第二个URL等7,5秒）。

在Active Directory域环境中使用证书时，LDAP链接没有问题。 但是，如果任何不是Active Directory林成员的客户端尝试validation此类证书，则在联系域控制器时将等待15秒。 LDAP URL不可能从互联网上parsing，即使可以parsing，防火墙或DC也会拒绝连接。 然后，CCE将尝试第二个URL（这是默认安装中的HTTP），并可能成功。 但是，根据证书链的长度，validation过程可能需要一段时间。

另外，证书validation程序不能无限期地继续，并且证书validation程序有全局超时。 即，由于此全局超时，证书validation可能会失败。 因此，您需要考虑可从networking内外parsing的高可用性HTTP URL（负载均衡器）。 如果是这种情况，则不需要在辅助LDAP URL中不适用于互联网用户。