保險櫃的 OCSP 設置

我在 PKI Secrets Engine 的容器中執行了保管庫設置，並希望為應用程序添加 OCSP 支持以檢查證書是否未被吊銷。我沒有找到任何關於如何為保險庫設置 OCSP 的解釋，也沒有在任何部落格中明確資訊。

在我的設置中，我為 CRL 配置了以下內容

vault write pki/config/urls \
       issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
       crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"

但是對於 OCSP 來說，沒有什麼比這更重要的了

我是否需要為 OSCP 設置單獨的服務或 Vault 可以自行處理？

任何幫助了解 OCSP for Vault 將不勝感激？

Vault不處理OCSP 響應程序。ocsp_servers您可以做的最好的事情是使用相同 API 呼叫中的參數將 URL 設置為代表客戶端呼叫 Vault 的一些自定義 OCSP 響應程序：

vault write pki/config/urls \
       issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
       crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl" \
       ocsp_servers="http://127.0.0.1:8200/v1/pki/ocsp"

這些 URL 是證書中的 URL。它必須對客戶端有意義，而不是 Vault。換句話說，使用 127.0.0.1 將永遠無法在您的筆記型電腦上使用。

另請記住，CRL 和 OCSP 必須可通過 http 而不是 https 訪問。在生產配置中，您將/應該僅通過 HTTPS 訪問 Vault。您可能必須在 Vault 前面放置一個反向代理來提供 CRL 和 OCSP 端點。

vault write pki/config/urls \
  issuing_certificates="http://vault.example.com/v1/pki/ca" \
  crl_distribution_points="http://vault.example.com/v1/pki/crl" \
  ocsp_servers="http://vault.example.com/my-custom/ocsp-responder"

引用自：https://serverfault.com/questions/1023474