Мы настраиваем HAProxy для принудительной проверки сертификата клиента. Это хорошо работает. Однако мы не смогли найти много информации о поддержке OCSP специально для проверки сертификата клиента. Есть информация о списке отзыва сертификатов и OCSP Stapling (что я считаю для сертификатов сервера). Итак, мои вопросы: 1. Поддерживает ли HAProxy OCSP во время проверки сертификата клиента? и 2. Если он поддерживается, его можно настроить вручную, не требуя URL OCSP, включенного в сам клиентский сертификат, или, возможно, переопределения URL-адреса на сервере?Поддерживает ли haproxy OCSP для проверки сертификата клиента
ответ
Мы настраиваем HAProxy для принудительной проверки валидации сертификата клиента.
Просьба точно определить, что такое Проверка сертификата Клиента. Вы говорите, что это работает хорошо, поэтому я полагаю, что вы создаете клиентские сертификаты, и вы настроили haproxy, чтобы требовать действительные клиентские сертификаты, чтобы получить доступ к ресурсам, которые есть у haproxy.
Однако мы не смогли найти много информации о поддержке OCSP специально для проверки сертификата клиента. ... 1. Поддерживает ли HAProxy OCSP во время проверки сертификата клиента?
№ Это довольно просто «вне сферы действия» для сервера, такого как haproxy. HAproxy только сшивает OCSP, и только тогда, если вы предоставите ответ OCSP в виде .ocs-файлов в каталоге сертификата. Необычно хотеть, чтобы haproxy блокировал TLS-соединения, в то время как он пытается получить ответы HTTP от каждого сертификата TLS по всем причинам, связанным с сшиванием OCSP. Вдоль тех же линий, с помощью Haproxy блокировать TLS-соединения от ваших клиентов, пока он пытается проверить свои сертификаты через OCSP (или, если на то пошло, CRL), это не очень хорошая идея.
Обновление: см. this thread on in the haproxy forums.