Tenho cerca de 30 servidores do Windows 2008 R2 como membros de um domínio e estou tentando configurar corretamente a parte dos certificados para acesso remoto a esses servidores.
O problema é que os clientes que precisam se conectar a esses servidores não estão no domínio. Os clientes estão na mesma rede interna que todos os computadores do domínio.
Até agora, fiz o seguinte:
- Criado o CA
- Configurou um modelo de certificado para Autenticação da Área de Trabalho Remota
- Configure o GPO padrão para habilitar o registro automático e para que os servidores de área de trabalho remota registrem um certificado do modelo de certificado RDP
- Instalou o certificado raiz da CA em meu repositório confiável de computador local no cliente não-domínio
Isso parece funcionar, pois cada servidor passou pelo processo de inscrição automática.
O problema é que quando me conecto com um cliente RDP, recebo um aviso de certificado declarando:
A revocation check could not be performed for the certificate
Olhando os detalhes do certificado, posso ver que é o certificado correto para a máquina e que ele foi assinado pela raiz da CA, que eu instalei e confiei. A entrada CRL Distribution Points nos estados do certificado:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
O certificado da CA raiz não tem nenhum local da CRL listado.
Por suposto, o cliente está tentando entrar em contato com o URL do LDAP e falhando, mas não está claro por que isso deveria acontecer. Como faço para que o cliente realize verificações de revogação?