我有大约30个
Windows 2008 R2服务器作为域的成员,并且我正在尝试正确配置证书部分以便远程桌面访问这些服务器.
问题是需要连接到这些服务器的客户端不在域中.客户端与所有域计算机位于同一内部网络上.
到目前为止,我已经完成了以下工作:
>创建了CA.
>为远程桌面身份验证配置了证书模板
>配置默认GPO以启用自动注册并使远程桌面服务器从RDP证书模板注册证书
>将CA根证书安装到非域客户端上的本地计算机可信证书库中
这似乎有效,因为每个服务器都经历了自动注册过程.
问题是当我连接RDP客户端时,我收到一个证书警告说明:
无法对证书执行吊销检查
查看证书详细信息,我可以看到它是该计算机的正确证书,并且已由我已安装并信任的CA根签名.证书上的CRL分发点条目指出:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=Public%20Key%20Services,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
根CA证书没有列出CRL位置.
猜测,客户端正在尝试联系LDAP网址并失败,但目前尚不清楚为什么会这样.如何让客户端执行撤销检查?
哦,我知道为什么.对于非域加入计算机,这也发生在我们身上(这就是我删除RDP证书的原因).
如果匿名用户无法查询您的LDAP,或者无权查看该特定位置,则未加入域的计算机将无法访问该位置以获取CRL,因此无法访问执行撤销检查. (当然,假设该位置因其他原因而无法访问,例如不存在.)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。