我们正在配置HAProxy以强制要求客户端证书验证。这很好。但是,我们无法找到有关OCSP支持的更多信息,专门用于客户端证书验证。有关于证书撤销列表和OCSP Stapling(我相信这是服务器证书)的信息。 所以我的问题是 1. HAProxy在客户端证书验证过程中是否支持OCSP? 和 2.如果支持,是否可以手动配置,而不需要OCSP URL包含在客户端证书本身中,或者可能覆盖服务器上的URL?haproxy是否支持用于客户端证书验证的OCSP
我们正在配置HAProxy以强制要求客户端证书验证。
请准确定义客户端证书验证对您意味着什么。你说它运行良好,所以我最好的猜测是你正在生成客户端证书,并且你已经配置haproxy来要求有效的客户端证书,以便访问haproxy所在的资源。
但是,我们无法找到有关OCSP支持的更多信息,专门用于客户端证书验证。 ... 1.在客户端证书验证过程中,HAProxy是否支持OCSP?
不,这对于像haproxy这样的服务器来说简直就是“超出了范围”。 HAproxy仅执行OCSP装订,并且只有在以证书目录中的.ocsp文件形式提供OCSP响应时才会执行。由于OCSP装订存在的所有原因,希望haproxy在尝试从每个TLS证书获取HTTP响应时阻止TLS连接是很常见的。沿着同样的路线,haproxy阻止来自客户端的TLS连接,同时它试图通过OCSP验证他们的证书(或者CRL)并不是一个好主意。