大佬教程收集整理的这篇文章主要介绍了Windows – 从Microsoft PKI中的CDP和AIA中删除LDAP,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我想在组织外部颁发证书,但我不希望证书中包含内部LDAP地址.有没有理由认为从我的扩展中删除LDAP地址会对现在或将来造成伤害?
编辑31.10.2015:
@H_133_15@microsoft官方推荐的内容是在Certificate Revocation Checking in Windows Vista and Windows Server 2008白皮书中写的(第27页):以下:
除了上面引用的,我还会补充一个简短的解释.当证书链引擎(CCE)使用CDP / AIA扩展来下载请求的对象(无关紧要,证书或CRL或其他任何内容)时,CCE会按照扩展中列出的顺序尝试URl.如果第一个URL失败,将尝试第二个URL(如果显示),依此类推. Microsoft CryptoAPI对第一个URL使用15秒超时,对后续URL使用两倍(即第二个URL为7.5秒,依此类推).
在Active Directory域环境中使用证书时,LDAP链接不会出现问题.但是,如果任何不是Active Directory林成员的客户端尝试验证此类证书,则在联系域控制器时它将等待15秒. LDAP URL(很可能)不能从Internet解析,即使它是可解析的,防火墙或DC也会拒绝连接.然后,CCE将尝试第二个URL(默认安装中的http),并且可能会成功.但是,根据证书链长度,验证过程可能需要一段时间.
此外,证书验证过程无法无限期地继续,并且证书验证过程存在全局超时.也就是说,由于此全局超时,证书验证可能会失败.因此,您需要考虑一个高度可用的http URL(在负载均衡器上),该URL可以从网络内部和外部解析.如果是这种情况,则不需要辅助LDAP URL,这对于Internet用户不起作用.
以上是大佬教程为你收集整理的Windows – 从Microsoft PKI中的CDP和AIA中删除LDAP全部内容,希望文章能够帮你解决Windows – 从Microsoft PKI中的CDP和AIA中删除LDAP所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。