Como publicar uma CRL para uma autoridade de certificação interna do Windows?

Eu tenho um domínio do Active Directory com uma Autoridade de Certificação Raiz Corporativa; o domínio usa um nome de domínio privado ("domain.local") e também temos um nome de domínio público ("domain.com"). O domínio contém os seguintes servidores:

• dc1.domain.local (controlador de domínio)
• dc2.domain.local (controlador de domínio)
• ca.domain.local (autoridade de certificação)
• exchange.domain.local (Exchange 2010)
• fw.domain.local (firewall do TMG 2010)

O firewall tem duas interfaces de rede, uma privada e pública, e vários endereços IP públicos; é também o gateway padrão da rede interna. Ele publica os serviços da Web do servidor Exchange usando o nome público "mail.domain.com" e também atua como um servidor SSTP VPN, usando o nome público "vpn.domain.com". Todos os certificados envolvidos foram emitidos pela CA interna. Tudo bem, porque todos os computadores que usarão os serviços desse domínio devem confiar nos certificados internos da CA.

O que eu preciso é publicar a Lista de Revogação de Certificados da CA interna, caso contrário o cliente VPN do Windows SSTP reclama por não poder verificá-la (sei que isso pode ser corrigido usando uma chave do Registro, mas é difícil gerenciar globalmente)

Eu emiti um certificado contendo os dois nomes "ca.domain.local" e "ca.domain.com", configurei-o no IIS da CA e no firewall TMG e publiquei o site interno da CA. com o URL público https://ca.domain.com .
Mas aqui está a pegadinha: como posso dizer à CA para anotar em seus certificados que sua CRL pode ser encontrada em http://ca.domain.com/SomePath , diferente de http://ca.domain.local/SomePath , que é a configuração padrão?

E também: como essa informação é incorporada em cada certificado emitido, se eu alterá-lo, será necessário reemitê-los, para que quem os verificar saiba onde sua CRL pode ser encontrada?