我们正在配置 HAProxy 以强制要求客户端证书验证。这很好用。但是,我们找不到太多关于专门用于客户端证书验证的 OCSP 支持的信息。有关于证书吊销列表和 OCSP 装订(我相信是服务器证书)的信息。所以我的问题是 1. HAProxy 在客户端证书验证期间是否支持 OCSP?2. 如果支持,是否可以手动配置而不需要客户端证书本身包含的 OCSP URL 或可能覆盖服务器上的 url?
问问题
1546 次
1 回答
1
我们正在配置 HAProxy 以强制要求客户端证书验证。
请准确定义客户端证书验证对您的意义。您说它运行良好,所以我最好的猜测是您正在生成客户端证书,并且您已将 haproxy 配置为需要有效的客户端证书才能访问 haproxy 前面的资源。
但是,我们找不到太多关于专门用于客户端证书验证的 OCSP 支持的信息。... 1. HAProxy 在客户端证书验证期间是否支持 OCSP?
不,对于像 haproxy 这样的服务器来说,这简直是“超出范围”。HAproxy 仅执行 OCSP 装订,并且仅当您在证书目录中以 .ocsp 文件的形式提供 OCSP 响应时。由于 OCSP 装订存在的所有原因,希望 haproxy 在尝试从每个 TLS 证书获取 HTTP 响应时阻止 TLS 连接是不寻常的。同样,在尝试通过 OCSP(或就此而言,CRL)验证其证书时,让 haproxy 阻止来自客户端的 TLS 连接并不是一个好主意。
于 2017-08-22T20:38:11.667 回答