Поддерживает ли haproxy OCSP для проверки сертификата клиента

Question

Мы настраиваем HAProxy для принудительной проверки сертификата клиента. Это хорошо работает. Однако мы не смогли найти много информации о поддержке OCSP специально для проверки сертификата клиента. Есть информация о списке отзыва сертификатов и OCSP Stapling (что я считаю для сертификатов сервера). Итак, мои вопросы: 1. Поддерживает ли HAProxy OCSP во время проверки сертификата клиента? и 2. Если он поддерживается, его можно настроить вручную, не требуя URL OCSP, включенного в сам клиентский сертификат, или, возможно, переопределения URL-адреса на сервере?

Answer 1

Мы настраиваем HAProxy для принудительной проверки валидации сертификата клиента.

Просьба точно определить, что такое Проверка сертификата Клиента. Вы говорите, что это работает хорошо, поэтому я полагаю, что вы создаете клиентские сертификаты, и вы настроили haproxy, чтобы требовать действительные клиентские сертификаты, чтобы получить доступ к ресурсам, которые есть у haproxy.

Однако мы не смогли найти много информации о поддержке OCSP специально для проверки сертификата клиента. ... 1. Поддерживает ли HAProxy OCSP во время проверки сертификата клиента?

№ Это довольно просто «вне сферы действия» для сервера, такого как haproxy. HAproxy только сшивает OCSP, и только тогда, если вы предоставите ответ OCSP в виде .ocs-файлов в каталоге сертификата. Необычно хотеть, чтобы haproxy блокировал TLS-соединения, в то время как он пытается получить ответы HTTP от каждого сертификата TLS по всем причинам, связанным с сшиванием OCSP. Вдоль тех же линий, с помощью Haproxy блокировать TLS-соединения от ваших клиентов, пока он пытается проверить свои сертификаты через OCSP (или, если на то пошло, CRL), это не очень хорошая идея.

Обновление: см. this thread on in the haproxy forums.