Windows LDAP クライアント DLL (wldap32.dll) を使用してリモート LDAP サーバーに接続しています。接続は TLS (ポート 636 上の LDAPS プロトコル) 経由で行われます。
私の問題は、CRL 取り消しを有効にすることです。以下を使用して、LDAP セッションの schannel オプションを設定できることがわかりました。
ldap_set_option(LDAP_OPT_SCH_FLAGS, &uLong);
そのため、上記の呼び出しに SCH_CRED_REVOCATION_CHECK_CHAIN オプションを渡そうとしました (もちろん ldap_bind_s の前に) が、wireshark トラフィックを検査した後、クライアントがサーバーから OCSP ステータスを要求していることがわかり、それが失敗したようです ( OCSP ステータスが返されないため、TLS ハンドシェイクは中止されます) ただし、サーバー証明書には CDP が含まれており、クライアントがそれを使用して、OCSP 経由ではなく、指定された CRL 経由で失効チェックを実行するようにします。
それはschannelの単なる制限ですか、それとも何か間違っていますか?
ありがとう
アミット