Eu tenho a configuração do cofre em execução no contêiner para o PKI Secrets Engine e gostaria de adicionar suporte OCSP para o aplicativo verificar se o certificado não foi revogado. Não encontrei nenhuma explicação sobre como configurar o OCSP para o cofre, também não esclareceu as informações em nenhum dos blogs.
Na minha configuração, configurei o seguinte para CRL
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"
Mas nada além disso para OCSP
Preciso configurar um serviço separado para OSCP ou o Vault pode lidar com isso sozinho?
Qualquer ajuda sobre isso para entender OCSP para Vault seria apreciada?
O respondedor OCSP não é tratado pelo Vault. O melhor que você pode fazer é definir o URL para algum respondedor OCSP personalizado chamando o Vault em nome do cliente com o
ocsp_serversparâmetro na mesma chamada de API:Essas URLs são as URLs que estarão no certificado. Deve fazer sentido para o cliente , não para o Vault. Em outras palavras, usar 127.0.0.1 nunca funcionará em outro lugar que não seja no seu laptop.
Lembre-se também de que CRL e OCSP devem ser acessíveis por http, não por https. Em uma configuração de produção, você terá/deverá ter o Vault acessível apenas por HTTPS. Talvez seja necessário colocar um proxy reverso na frente do Vault para oferecer o ponto de extremidade CRL e OCSP.