Le tue CA sono utilizzate solo per emettere i certificati e gli elenchi di revoca - una volta emesse, le CA sono ridondanti fino al momento in cui desideri emettere più certificati o emettere / rinnovare un CRL.
Le informazioni di revoca, d'altra parte, devono essere disponibili 24/7. Alcuni (tutti?) Client memorizzano nella cache le informazioni di revoca, che possono darti un po 'di margine di manovra, ma anche così, dovresti considerare il tempo di attivazione del tuo CDP per essere molto più significativo del tempo di attivazione della tua CA.
Se sei preoccupato per l'affidabilità della tua VPN, allora considera di eseguire un CDP alle due estremità. Alcuni magic DNS (split DNS?) Possono consentire all'utente di indirizzare l'URL del proprio CDP al sito locale del client, indipendentemente dal fatto che si tratti del sito 1 o 2.
Pertanto, per rispondere alla tua domanda:
- I client sul sito remoto possono accedere a un sito Web HTTPS su tale sito remoto solo se le informazioni di revoca sono disponibili per il client; presumendo che il cliente controlli la revoca, ovviamente.
- Mentre è possibile posizionare una seconda CA sul sito remoto, la gestione dei certificati diventa un po 'più difficile. Un piano migliore sarebbe avere una singola CA di emissione e più CDP. Ovviamente, se la tua VPN è in calo più di quanto non lo sia, allora potrebbe essere meglio considerarli come due siti isolati ed eseguire una CA e una CDP a ciascuno.