当我们尝试在不属于域的计算机上使用证书时,Windows会抱怨这一点
由于吊销服务器处于脱机状态,吊销function无法检查吊销。
但是,如果手动打开证书并检查CRL Distribution Point属性,则会看到一个ldap:/// URL和一个http:// URL,指向承载CRL的可从外部访问的IIS站点。 当然,非域join的客户端不能访问ldap:/// URL,但可以从http://链接(至less在浏览器中)下载CRL。
我启用了CAPI日志logging,并查看与此失败的撤销检查相对应的事件。 RevocationInfo部分是:
RevocationInfo
[freshnessTime] PT11H27M4S
- RevocationResult由于吊销服务器处于脱机状态,吊销function无法检查吊销。
[价值] 80092013- CertificateRevocationList
[位置] UrlCache
[url] http:// 正确的URL
[fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
[issuerName] CA的名称
此外,我可以看到HTTP请求正确的URL和服务器的响应(HTTP 304未修改)与Microsoftnetworking监视器。
我运行certutil -verify -urlfetch ,它似乎显示相同的事情:计算机可以识别这两个URL,尝试这两个,即使http://链接成功,返回相同的错误。
有没有办法让非域join的客户端跳过ldap:///链接,只检查http://一个?
编辑:
ldap:///url是
ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint
非join域的客户端可能位于域networking或外部networking上。 http:// CDP可以从公共互联网访问。
在使用Microsoft支持进行故障排除之后,我们注意到客户端无法访问增量CRL,因为IIS的默认configuration不支持带有+字符的文件名,而增量CRL则以+结尾。 在IIS中启用双重转义后,非域join的客户端能够确authentication书尚未被撤销。