我们正在配置HAProxy以强制要求客户端证书验证。这个很好用。但是,我们无法找到有关OCSP支持客户端证书验证的详细信息。有关于证书吊销列表和OCSP装订的信息(我相信这是针对服务器证书的)。我的问题是1。HAProxy在客户端证书验证期间是否支持OCSP?2.如果支持,是否可以手动配置,而不需要在客户端证书本身中包含OCSP URL或可能覆盖服务器上的URL?
3hvapo4f1#
我们正在配置HAProxy以强制要求客户端证书验证。请准确定义客户端证书验证对您的意义。您说它工作得很好,所以我最好的猜测是您正在生成客户端证书,并且您已经将haproxy配置为要求有效的客户端证书,以便访问haproxy前面的资源。但是,我们无法找到有关OCSP支持客户端证书验证的详细信息。... 1. HAProxy在客户端证书验证期间是否支持OCSP?不,对于像haproxy这样的服务器来说,这只是“超出范围”。HAproxy仅执行OCSP装订,并且仅当您在证书目录中以.ocsp文件的形式提供OCSP响应时。由于OCSP装订存在的所有原因,当haproxy试图从每个TLS证书获取HTTP响应时,希望haproxy阻止TLS连接是不寻常的。同样,让haproxy阻止来自客户端的TLS连接,同时尝试通过OCSP(或CRL)验证其证书并不是一个好主意。更新:参见this thread in the haproxy forums。
1条答案
按热度按时间3hvapo4f1#
我们正在配置HAProxy以强制要求客户端证书验证。
请准确定义客户端证书验证对您的意义。您说它工作得很好,所以我最好的猜测是您正在生成客户端证书,并且您已经将haproxy配置为要求有效的客户端证书,以便访问haproxy前面的资源。
但是,我们无法找到有关OCSP支持客户端证书验证的详细信息。... 1. HAProxy在客户端证书验证期间是否支持OCSP?
不,对于像haproxy这样的服务器来说,这只是“超出范围”。HAproxy仅执行OCSP装订,并且仅当您在证书目录中以.ocsp文件的形式提供OCSP响应时。由于OCSP装订存在的所有原因,当haproxy试图从每个TLS证书获取HTTP响应时,希望haproxy阻止TLS连接是不寻常的。同样,让haproxy阻止来自客户端的TLS连接,同时尝试通过OCSP(或CRL)验证其证书并不是一个好主意。
更新:参见this thread in the haproxy forums。