@dshumov
Коллеги, подскажите пожалуйста, а возможно ли размещение Certificate revocation list (CRL) на SYSVOL в домене? Или выход только в создании Certificate Revocation List Distribution Point?
Т.е. можно ли указать в настройках CA путь \domen.localSYSVOLdomen.local
Т.е. можно ли указать в настройках CA путь \domen.localSYSVOLdomen.local
Решения вопроса 1
@SignFinder
1. Вы же видите, что у вас по 3 протоколам он опубликован.
Выложив CRL в SYSVOL вы закроете только один из них. Никаких противоречий чтобы выложить его туда по моему мнению не будет — SYSVOL это таже файловая шара с репликацией на все DC через FRSDFSR.
2. CRL отказоустойчивость не нужна — инфраструктура может работать и без него некоторое время.
Так что ему нужен мониторинг и бекапы для оперативного восстановления.
Выложив CRL в SYSVOL вы закроете только один из них. Никаких противоречий чтобы выложить его туда по моему мнению не будет — SYSVOL это таже файловая шара с репликацией на все DC через FRSDFSR.
2. CRL отказоустойчивость не нужна — инфраструктура может работать и без него некоторое время.
Так что ему нужен мониторинг и бекапы для оперативного восстановления.
Комментировать
Ответы на вопрос 1
@CityCat4
Если планируете использовать сертификаты на телефонах/планшетах/ноутах вне корпоративной сети — CDP лучше создать и поддерживать там актуальный CRL. Некоторые программы без него гнать начинают, у некоторых шифрование отваливается или начинают страшные красные значки рисовать.