从评论中我了解到您的意思是您有一个 CA，只是 VPN 对等点无法访问它。（如果您根本没有 CA，情况就不一样了）。正如您在评论中提到的，在每一方安装 CA 证书足以验证对等方的证书，并且仅当您想要进行吊销检查（即下载 CRL）时才需要访问 CA。

有多种方法可以解决这个问题：

1) 如果您控制 CA，您可以将其配置为将 CRL 推送到可从 VPN 对等方访问的单独 HTTP 服务器，并将该服务器的 URL 作为 CDP 包含在证书中。

2) 如果您控制 CA，您可以将其配置为无需 CDP 即可颁发证书。

3) 在 VPN 对等体上，您可以在 CA 信任点下配置“crl nocheck”。

显然，解决方案 1 将是最安全的，因为它仍然允许吊销检查。