Windows 2012R2を実行しているMicrosoftPKIのデフォルトのインストールには、CRL配布ポイント(CDP)内のLDAP URLと機関情報アクセス(AIA)が含まれます。
組織外で証明書を発行したいのですが、証明書に内部LDAPアドレスを含めたくありません。拡張機能からLDAPアドレスを削除すると、現在または将来的に害が生じると考える理由はありますか?
CDP/AIA拡張機能にLDAP URLを含めないことをお勧めします。代わりに、内部および外部からアクセス可能で可用性の高いHTTPロケーションを1つ持つことをお勧めします。
2015年10月31日編集:
Microsoftの公式な推奨事項は Windows VistaおよびWindows Server 2008の証明書失効チェック ホワイトペーパー(p.27)に記載されています。
HTTPを使用
AD DSは、フォレスト内のすべてのドメインコントローラーへのCRLの公開を有効にしますが、失効情報の公開にはLDAPではなくHTTPを実装することをお勧めします。HTTPのみがETagおよびCache-Controlの使用を有効にします。最大-ageヘッダーは、プロキシとよりタイムリーな失効情報のサポートを提供し、さらに、HTTPはほとんどのLinux、UNIX、およびネットワークデバイスクライアントでサポートされているため、より良い異種サポートを提供します。
以下:
URLの数を制限する
OCSPおよびCRL取得用にURLの長いリストを作成する代わりに、リストを単一のOCSPおよび単一のCRL URLに制限することを検討してください。複数のサイトを提供する代わりに、URLで参照されるサイトの可用性が高く、予想される帯域幅要件を処理できることを確認してください。
上記のほかに、簡単な説明を追加します。証明書チェーンエンジン(CCE)がCDP/AIA拡張機能を使用して、要求されたオブジェクト(証明書、CRL、またはその他)をダウンロードする場合、CCEは拡張機能に記載されている順序でURLを試行します。最初のURLが失敗した場合、2番目のURL(提示されている場合)が試行され、以下同様に試行されます。 Microsoft CryptoAPIは、最初のURLに15秒のタイムアウトを使用し、後続のURLに以前の2倍短いタイムアウトを使用します(つまり、2番目のURLに7.5秒など)。
Active Directoryドメイン環境で証明書を使用する場合、LDAPリンクに問題はありません。ただし、Active Directoryフォレストのメンバーではないクライアントがそのような証明書を検証しようとすると、ドメインコントローラーに接続する間15秒間待機します。 LDAP URLは(ほとんどの場合)インターネットから解決できません。解決できる場合でも、ファイアウォールまたはDCは接続を拒否します。次に、CCEは2番目のURL(デフォルトのインストールではHTTP)を試行し、成功する可能性があります。ただし、証明書チェーンの長さによっては、検証手順に時間がかかる場合があります。
さらに、証明書検証手順を無期限に続行することはできず、証明書検証手順にはグローバルタイムアウトがあります。つまり、このグローバルタイムアウトが原因で、証明書の検証が失敗する可能性があります。その結果、ネットワークの内部および外部から解決可能な(ロードバランサー上の)高可用性HTTP URLを検討する必要があります。その場合、セカンダリLDAP URLは不要であり、インターネットユーザーには機能しません。