Рекомендуется НЕ ИМЕТЬ URL-адреса LDAP в расширениях CDP / AIA. Вместо этого рекомендуется иметь одно внутреннее и внешнее доступное и высокодоступное местоположение HTTP.

Редактировать 31.10.2015:

Официальная рекомендация Microsoft написана в Проверка отзыва сертификата в Windows Vista и Windows Server 2008 технический документ (стр.27):

Использовать HTTP

Хотя AD DS позволяет публиковать списки отзыва сертификатов для всего домена контроллеры в лесу, мы рекомендуем реализовать HTTP вместо LDAP для публикации информации об отзыве. Только HTTP позволяет использовать заголовков ETag и Cache-Control: Max-age обеспечивают лучшее поддержка прокси и более своевременная информация об отзыве. В кроме того, HTTP обеспечивает лучшую гетерогенную поддержку, поскольку HTTP является поддерживается большинством клиентов Linux, UNIX и сетевых устройств.

и ниже:

Ограничить количество URL-адресов

Вместо создания длинных списков URL-адресов для Получение OCSP и CRL, рассмотрите возможность ограничения списков одним OCSP и один URL-адрес CRL. Вместо того, чтобы предоставлять несколько сайтов, работайте над обеспечение высокой доступности сайтов, указанных в URL-адресах и может удовлетворить ожидаемые требования к полосе пропускания.

Помимо упомянутого выше, я бы добавил краткое объяснение. Когда механизм цепочки сертификатов (CCE) использует расширение CDP / AIA для загрузки запрошенного объекта (не имеет значения, сертификат, CRL или что-то еще), CCE пытается использовать URL-адреса в том порядке, в котором они указаны в расширении. Если первый URL-адрес не работает, будет предпринята попытка второго URL-адреса (если он есть) и так далее. Microsoft CryptoAPI использует 15-секундный тайм-аут для первого URL-адреса и в два раза короче предыдущего для последующих URL-адресов (т. Е. 7,5 секунд для второго URL-адреса и т. Д.).

Когда сертификат используется в среде домена Active Directory, проблем нет со ссылками LDAP. Однако, если любой клиент, не являющийся членом леса Active Directory, попытается проверить такой сертификат, он будет ждать 15 секунд, пока связывается с контроллерами домена. URL-адрес LDAP невозможно (скорее всего) разрешить из Интернета, и даже если он разрешим, брандмауэры или контроллеры домена откажут в соединении. Затем CCE попытается использовать второй URL (который является HTTP при установке по умолчанию), и это может быть успешным. Однако, в зависимости от длины цепочки сертификатов, процедура проверки может занять некоторое время.

Кроме того, процедура проверки сертификата не может продолжаться бесконечно, и существует глобальный тайм-аут для процедуры проверки сертификата. То есть проверка сертификата может завершиться ошибкой из-за этого глобального тайм-аута. В результате вам необходимо рассмотреть высокодоступный HTTP-URL (на балансировщике нагрузки), который разрешается изнутри и вне сети. В этом случае нет необходимости во вторичных URL-адресах LDAP, которые не будут работать для пользователей Интернета.