Ssl-Certificate
保險櫃的 OCSP 設置
我在 PKI Secrets Engine 的容器中執行了保管庫設置,並希望為應用程序添加 OCSP 支持以檢查證書是否未被吊銷。我沒有找到任何關於如何為保險庫設置 OCSP 的解釋,也沒有在任何部落格中明確資訊。
在我的設置中,我為 CRL 配置了以下內容
vault write pki/config/urls \ issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \ crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"
但是對於 OCSP 來說,沒有什麼比這更重要的了
我是否需要為 OSCP 設置單獨的服務或 Vault 可以自行處理?
任何幫助了解 OCSP for Vault 將不勝感激?
Vault不處理OCSP 響應程序。
ocsp_servers
您可以做的最好的事情是使用相同 API 呼叫中的參數將 URL 設置為代表客戶端呼叫 Vault 的一些自定義 OCSP 響應程序:vault write pki/config/urls \ issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \ crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl" \ ocsp_servers="http://127.0.0.1:8200/v1/pki/ocsp"
這些 URL 是證書中的 URL。它必須對客戶端有意義,而不是 Vault。換句話說,使用 127.0.0.1 將永遠無法在您的筆記型電腦上使用。
另請記住,CRL 和 OCSP 必須可通過 http 而不是 https 訪問。在生產配置中,您將/應該僅通過 HTTPS 訪問 Vault。您可能必須在 Vault 前面放置一個反向代理來提供 CRL 和 OCSP 端點。
vault write pki/config/urls \ issuing_certificates="http://vault.example.com/v1/pki/ca" \ crl_distribution_points="http://vault.example.com/v1/pki/crl" \ ocsp_servers="http://vault.example.com/my-custom/ocsp-responder"