2017-01-26 3 views
0

Мы реализуем консул с включенной поддержкой TLS, но он не похож на то, что агент консула выполняет любой поиск отзыва по входящим (или локальным) сертификатам. Это ожидаемое поведение? Мы хотели бы иметь возможность заблокировать агентов-изгоев/истекших.Консул TLS Проверка CRL

ответ

1

Что-нибудь надежно реализует проверку CRL/OCSP? Насколько я знаю, ответа в принципе нет.

Из того, что я понимаю, нынешняя лучшая практика заключается в том, чтобы иметь очень кратковременные сертификаты и постоянно менять их. letencrypt хорош для внешних сервисов, но для внутренних служб (для которых вы, вероятно, используете consul), Vault (сделанный теми же парнями, что и консул) имеет бэкэнд PKI, который делает именно это. Он публикует CRL, если у вас есть какие-либо инструменты, которые беспокоят, но, насколько я могу судить, в основном ничего не происходит, потому что это своего рода нарушение (отказ в обслуживании, огромные списки списков списков списков CRL, медленнее и т. Д.). Более подробная информация о Vault: https://www.vaultproject.io/docs/secrets/pki/index.html

Кроме того, существуют другие внутренние инструменты CA, а для более крупной инфраструктуры вы можете даже использовать код letencrypt (он с открытым исходным кодом).

+0

Благодарим за информацию. Мы закончили тем, что написали собственный сервис отдыха на вершине opensl, чтобы иметь возможность быстро (повторно) генерировать сертификаты для консула. Хорошая информация о Сейфе, не знала, что у него есть pki backend. Это то, что мы рассмотрим. спасибо! – Trondh

0

По умолчанию Consul не проверяет входящие сертификаты. Вы можете включить это поведение, установив verify_incoming в конфигурации:

{ 
    "verify_incoming": true, 
    "verify_incoming_rpc": true, 
    "verify_incoming_https": true, 
} 

Вы также можете сказать консулу для проверки исходящих соединений с помощью TLS:

{ 
    "verify_outgoing": true, 
} 

В таких ситуациях может потребоваться установить ca_file и ca_path.

+0

Достаточно уверен, что Консул не проверяет список аннулирования даже при включенной опции проверки. Не стесняйтесь исправить меня, если я ошибаюсь (или поведение могло измениться в более новых версиях, мы, насколько я помню, на 0.7.4) – Trondh

+0

Извините за задержку - я проверял внутренне. Вы совершенно правы, но это то, что планируется установить до 1.0. – sethvargo

+0

хорошо знать. Спасибо! – Trondh