Консул TLS Проверка CRL

Question

Мы реализуем консул с включенной поддержкой TLS, но он не похож на то, что агент консула выполняет любой поиск отзыва по входящим (или локальным) сертификатам. Это ожидаемое поведение? Мы хотели бы иметь возможность заблокировать агентов-изгоев/истекших.

Answer 1

Что-нибудь надежно реализует проверку CRL/OCSP? Насколько я знаю, ответа в принципе нет.

Из того, что я понимаю, нынешняя лучшая практика заключается в том, чтобы иметь очень кратковременные сертификаты и постоянно менять их. letencrypt хорош для внешних сервисов, но для внутренних служб (для которых вы, вероятно, используете consul), Vault (сделанный теми же парнями, что и консул) имеет бэкэнд PKI, который делает именно это. Он публикует CRL, если у вас есть какие-либо инструменты, которые беспокоят, но, насколько я могу судить, в основном ничего не происходит, потому что это своего рода нарушение (отказ в обслуживании, огромные списки списков списков списков CRL, медленнее и т. Д.). Более подробная информация о Vault: https://www.vaultproject.io/docs/secrets/pki/index.html

Кроме того, существуют другие внутренние инструменты CA, а для более крупной инфраструктуры вы можете даже использовать код letencrypt (он с открытым исходным кодом).

Answer 2

По умолчанию Consul не проверяет входящие сертификаты. Вы можете включить это поведение, установив verify_incoming в конфигурации:

{ 
    "verify_incoming": true, 
    "verify_incoming_rpc": true, 
    "verify_incoming_https": true, 
} 

Вы также можете сказать консулу для проверки исходящих соединений с помощью TLS:

{ 
    "verify_outgoing": true, 
} 

В таких ситуациях может потребоваться установить ca_file и ca_path.