Certificate revocation list (CRL) on SYSVOL — реально?

Question

[Дмитрий Шумов]

Коллеги, подскажите пожалуйста, а возможно ли размещение Certificate revocation list (CRL) на SYSVOL в домене? Или выход только в создании Certificate Revocation List Distribution Point?
Т.е. можно ли указать в настройках CA путь \\domen.local\SYSVOL\domen.local

Comments

[Valentin Barbolin]

Указать-то можно, только как это будет работать? Хочешь сделать SMB с гостевым доступом?)

CRL лучше и правильнее размещать на HTTP сервере.

[Дмитрий Шумов]

Andrey Barbolin, но SYSVOL то доступен всем пользователям домена, и я просто подумал что можно. Не я проектировал систему, имеем то, что имеем. А имеем следующее: первичный (главный) CA и вторичный (подчинённый). CLR находиться на главном CA. Такая себе отказоустойчивость. Стал изучать эту тему. Понятно, что есть мануалы по созданию Certificate Revocation List Distribution Point, просто подумал, может есть проще метод? Просто указал на SYSVOLи все :) Но ни где не увидел можно или нет. Потому и спрашиваю.

Answer 1

[Alexey Dmitriev]

1. Вы же видите, что у вас по 3 протоколам он опубликован.
Выложив CRL в SYSVOL вы закроете только один из них. Никаких противоречий чтобы выложить его туда по моему мнению не будет - SYSVOL это таже файловая шара с репликацией на все DC через FRS\DFSR.
2. CRL отказоустойчивость не нужна - инфраструктура может работать и без него некоторое время.
Так что ему нужен мониторинг и бекапы для оперативного восстановления.

Answer 2

[CityCat4]

Если планируете использовать сертификаты на телефонах/планшетах/ноутах вне корпоративной сети - CDP лучше создать и поддерживать там актуальный CRL. Некоторые программы без него гнать начинают, у некоторых шифрование отваливается или начинают страшные красные значки рисовать.