我们正在配置HAProxy以强制要求客户端证书验证。这很好用。但是,我们无法找到有关OCSP支持的大量信息,专门用于客户端证书验证。有关证书撤销列表和OCSP装订的信息(我认为是服务器证书)。 所以我的问题是 1. HAProxy在客户端证书验证期间是否支持OCSP? 和 2.如果支持,是否可以手动配置,而无需在客户端证书本身中包含OCSP URL,或者可能覆盖服务器上的URL?
答案 0 :(得分:0)
我们正在配置HAProxy以强制要求客户端证书验证。
请准确定义客户端证书验证对您的意义。你说它运行良好,所以我最好的猜测是你正在生成客户端证书,你已经配置了haproxy来要求有效的客户端证书,以便访问haproxy所在的资源。
但是,我们找不到有关OCSP支持的更多信息,专门用于客户端证书验证。 ... 1. HAProxy在客户端证书验证期间是否支持OCSP?
没有。对于像haproxy这样的服务器来说,这简直就是“超出范围”。 HAproxy仅执行OCSP装订,并且只有在证书目录中以.ocsp文件的形式提供OCSP响应时才会执行。在出于OCSP装订存在的所有原因而尝试从每个TLS证书获取HTTP响应时,希望haproxy阻止TLS连接是不寻常的。同样,在尝试通过OCSP(或就此而言,CRL)验证其证书时,来自客户端的haproxy阻止TLS连接并不是一个好主意。