A verificação de revogação de certificado falha para um convidado que não seja de domínio apesar da CRL acessível

Quando tentamos usar certificados em computadores que não fazem parte do domínio, o Windows reclama que

The revocation function was unable to check revocation because the revocation server was offline.

No entanto, se eu abrir manualmente o certificado e verificar a propriedade CRL Distribution Point , vejo uma URL ldap:/// e http:// que aponta para um site do IIS acessível externamente que hospeda as CRLs. Obviamente, o cliente não associado ao domínio não pode acessar a URL ldap:/// , mas pode fazer o download da CRL do link http:// (pelo menos em um navegador).

Eu habilitei o log do CAPI e vejo o evento que corresponde a essa verificação de revogação com falha. o A seção RevocationInfo é:

• RevocationInfo

  [ freshnessTime] PT11H27M4S

  • RevocationResult The revocation function was unable to check revocation because the revocation server was offline.
    [ value] 80092013
  • CertificateRevocationList
    [ location] UrlCache
    [ url] http://the correct URL
    [fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
    [issuerName] the name of the CA

Além disso, posso ver a solicitação HTTP para a URL correta e a resposta do servidor (HTTP 304 não modificado) com o Microsoft Network Monitor.

Corri certutil -verify -urlfetch e parece mostrar a mesma coisa: o computador reconhece as duas URLs, tenta ambas e, embora o link http:// seja bem-sucedido, retorna o mesmo erro.

Existe uma maneira de ter clientes que não fazem parte do domínio pular o link ldap:/// e verificar apenas o http:// one?

Editar:
A URL ldap:/// é

ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Os clientes que não fazem parte do domínio podem estar na rede do domínio ou em uma rede externa. O http:// CDP é acessível a partir da Internet pública.