Quando tentamos usar certificados em computadores que não fazem parte do domínio, o Windows reclama que
The revocation function was unable to check revocation because the revocation server was offline.
No entanto, se eu abrir manualmente o certificado e verificar a propriedade CRL Distribution Point
, vejo uma URL ldap:///
e http://
que aponta para um site do IIS acessível externamente que hospeda as CRLs. Obviamente, o cliente não associado ao domínio não pode acessar a URL ldap:///
, mas pode fazer o download da CRL do link http://
(pelo menos em um navegador).
Eu habilitei o log do CAPI e vejo o evento que corresponde a essa verificação de revogação com falha. o
A seção RevocationInfo
é:
Além disso, posso ver a solicitação HTTP para a URL correta e a resposta do servidor (HTTP 304 não modificado) com o Microsoft Network Monitor.
Corri certutil -verify -urlfetch
e parece mostrar a mesma coisa: o computador reconhece as duas URLs, tenta ambas e, embora o link http://
seja bem-sucedido, retorna o mesmo erro.
Existe uma maneira de ter clientes que não fazem parte do domínio pular o link ldap:///
e verificar apenas o http://
one?
Editar:
A URL ldap:///
é
ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Os clientes que não fazem parte do domínio podem estar na rede do domínio ou em uma rede externa. O http://
CDP é acessível a partir da Internet pública.