我們正在配置HAProxy以強制要求客戶端證書驗證。這很好。但是,我們無法找到有關OCSP支持的更多信息,專門用於客戶端證書驗證。有關於證書撤銷列表和OCSP Stapling(我相信這是服務器證書)的信息。 所以我的問題是 1. HAProxy在客戶端證書驗證過程中是否支持OCSP? 和 2.如果支持,是否可以手動配置,而不需要OCSP URL包含在客戶端證書本身中,或者可能覆蓋服務器上的URL?haproxy是否支持用於客戶端證書驗證的OCSP
我們正在配置HAProxy以強制要求客戶端證書驗證。
請準確定義客戶端證書驗證對您意味着什麼。你說它運行良好,所以我最好的猜測是你正在生成客戶端證書,並且你已經配置haproxy來要求有效的客戶端證書,以便訪問haproxy所在的資源。
但是,我們無法找到有關OCSP支持的更多信息,專門用於客戶端證書驗證。 ... 1.在客戶端證書驗證過程中,HAProxy是否支持OCSP?
不,這對於像haproxy這樣的服務器來說簡直就是「超出了範圍」。 HAproxy僅執行OCSP裝訂,並且只有在以證書目錄中的.ocsp文件形式提供OCSP響應時纔會執行。由於OCSP裝訂存在的所有原因,希望haproxy在嘗試從每個TLS證書獲取HTTP響應時阻止TLS連接是很常見的。沿着同樣的路線,haproxy阻止來自客戶端的TLS連接,同時它試圖通過OCSP驗證他們的證書(或者CRL)並不是一個好主意。