Vault的OCSP设置
Vault的OCSP设置
提问于 2020-06-30 14:03:15
我有保险库设置运行在容器中的PKI秘密引擎,并希望添加OCSP支持的应用程序,以检查证书是否被撤销。我没有找到任何解释如何设置OCSP的保险库,也没有明确的信息,在任何博客。
在我的设置中,我为CRL配置了以下内容
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"但对OCSP来说,没有什么比这更重要了
我需要为OSCP设置单独的服务吗?还是Vault可以自己处理?
在这方面有任何帮助,以了解OCSP为Vault将不胜感激?
回答 1
Server Fault用户
回答已采纳
发布于 2021-04-22 01:47:17
OCSP应答机不是由Vault处理的。最好的方法是将URL设置为某些自定义的OCSP响应程序,它代表客户端使用同一个API调用中的ocsp_servers参数调用Vault:
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl" \
ocsp_servers="http://127.0.0.1:8200/v1/pki/ocsp"这些URL是证书中的URL。这对客户来说是有意义的,而不是Vault。换句话说,使用127.0.0.1不会在其他地方起作用,除非在你的笔记本电脑上。
还请记住,CRL和OCSP必须可以通过http访问,而不是https。在生产配置中,您将/应该只有HTTPS才能访问Vault。您可能需要在Vault前面放置一个反向代理来提供CRL和OCSP端点。
vault write pki/config/urls \
issuing_certificates="http://vault.example.com/v1/pki/ca" \
crl_distribution_points="http://vault.example.com/v1/pki/crl" \
ocsp_servers="http://vault.example.com/my-custom/ocsp-responder"页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/1023474
复制相关文章
相似问题
腾讯云开发者
