As URLs raiz do CA CDP e do http do AIA off-line da Microsoft são codificadas - problema à frente?

Question

As URLs raiz do CA CDP e do http do AIA off-line da Microsoft são codificadas - problema à frente?

#1 resposta do (2 votos)

3

Sou novo no ADCS e há muito o que entender. Configurei uma PKI de 2 camadas e coloquei o CRT (certificado de CA raiz) offline e os arquivos CRL em um servidor da Web apontando para um CNAME no DNS. Quando eu configurei os extensões CDP e AIA para certificados emitidos a partir da raiz, codifiquei a URL http completa, incluindo os nomes dos arquivos CRL / CRT. Por exemplo, link

Agora eu estou querendo saber o quão ruim foi uma escolha. Eu não usei nenhuma variável de substituição.

A CA raiz não usará CRLs delta, portanto, acredito que o nome do arquivo da CRL não será alterado e pode ser substituído pelo mesmo nome de arquivo sempre que for renovado. Isso está correto? Quanto à extensão AIA, não marquei para incluí-la em certificados emitidos, uma vez que não planejamos emitir ou usar certificados com máquinas que não sejam de domínio. Estou pensando que as máquinas de domínio encontrarão o certificado raiz no AD ou via Política de Grupo, de qualquer maneira.

Se esses caminhos de URL inválidos forem um problema, é possível atualizá-los agora e, na próxima vez que eu renovar o certificado da CA de emissão da raiz, ele terá o CDP dinâmico atualizado nesse ponto?

windows-server-2008 windows-server-2008-r2 certificate-authority ad-certificate-services

por Dmart 21.07.2013 / 05:43

1 resposta

Tags windows-server-2008 windows-server-2008-r2 certificate-authority ad-certificate-services

Laptop instalando uma impressora sem a elevação do UAC Como conceder privilégio a alguém "Assuma a propriedade"?

score 2 · Accepted Answer

Você não deve ter problemas. Sua configuração significa apenas que seu arquivo CRL deve ser chamado myrootca.crl. Contanto que permaneça atualizado e persista o seu nome, os clientes podem verificá-lo com êxito.
Você não pode alterar a extensão do CDP para certificados já emitidos. Mas se você alterar o URL do ponto CDP, todos os novos certificados a partir desse momento executarão a verificação de revogação usando o novo URL. Depois de alterar a URL do CDP, você precisa garantir que a CRL também seja publicada na URL antiga com o nome myrootca.crl, de modo que os certificados antigos também possam realizar a verificação de revogação.
Além disso, certifique-se de que sua lista de CDP não inclua mais de dois pontos de CDP, porque, nesse caso, a verificação de revogação será prejudicada devido a um tempo limite.