[heikis]

Üritan võimalikult lühidalt küsimuse esitada.

Isiklikku ID-kaardi sertifikaati on kirjutatud serdi tühistamist kontrolliv OCSP aadress:

ehk URL=http://aia.sk.ee/esteid2018

SK (https://www.sk.ee/repositoorium/CRL) pakub oma kodulehel tühistamisnimekirja ka vanakooli CRL failina:
https://c.sk.ee/esteid2018.crl

Olukord: domeeni kasutajad autendivad end sisselogimiseks ID-kaardiga.

Küsimus: kuidas saaks domeenikontroller (DC) kasutaja sisselogimisel (ID-kaardiga) kontrollida sertifikaadi tühistamist, kui DC-l puudub internetiühendus? Mul on olemas värske CRL fail ( https://c.sk.ee/esteid2018.crl ), mida regulaarselt uuendatakse sisevõrgus näiteks võrgukettal sel hetkel, kui internetiühendus tekib.
Kas on võimalik, et OCSP aadressi asemel pöördutakse hoopis minu etteantud aadressil asuva CRL faili poole?
Esialgu ei tahaks revocation checki päris kinni ka keerata (oletan, et siin oli üks teine eestlane sama probleemiga kimpus: https://social.technet.microsoft.com/Forums/windows/en-US/8f403be3-ce39-4ceb-ac26-aa1955e25ddb/disable-crl-check-on-domain-controllers-for-smart-card-logon?forum=winserversecurity )

Või lähenen probleemile valesti?

-edit-
Leidsin sellise lingi: https://blogs.technet.microsoft.com/instan/2008/12/08/requiring-smart-cards-for-logon-what-happens-when-crl-publication-fails/
Pole jõudnud põhjalikult läbi lugeda, aga ehk saan sealt abi.